欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

SQL注入的问题:

程序员文章站 2023-12-22 11:43:04
...

问题描述:在利用sql语句进行查询的时候,如果我们按照传入的某个参数进行查询,例如

SQL注入的问题:

当执行 read("' or 1 or '");时,相应的查询语句变为了 select id,name,money,birthday from user where name='' or 1or '';导致查询结果出错(or 1表示 当name为ture即存在时就满足条件),此时出现sql注入出错的问题。为此引入prepareStatement();

prepareStatement()写法:

String sql = "select id, name, money, birthday  from user where name=?";
ps = conn.prepareStatement(sql); 
ps.setString(1, name);  //1代表第一个?的位置,将其替换成name变量
// 4.执行语句
rs = ps.executeQuery(); //此处不需要sql变量(对比statement),否则编译不会报错,运行报错(加sql变量代表的时statement类的函数,会将带有?的语句直                           接传入)

PreperedStatement(从Statement扩展而来)相对Statement的优点:

  1.没有SQL注入的问题。

  2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。

  3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。 

因此:提倡用prepareStatement,特别是有字符串作为参数进行数据库操作的时候


上一篇:

下一篇: