The local inspection is designed to identify potentially vulnerable sections of code where data obtained from potentially unreliable sources may be used in operations that pose security risks.

データフローの追跡

インスペクションは、ソースから重大な操作での使用箇所までデータフローを追跡します。 これにはメソッド、オブジェクト、変数を介したデータの移動の分析が含まれます。

ユーザー入力が適切な前処理なしに SQL クエリで直接使用される例を考えてみましょう。 インスペクションは可能性がある SQL インジェクションについて警告します。

String userInput = getUserInput();
String sqlQuery = "SELECT * FROM users WHERE username = '" + userInput + "'";