SQL注入的问题:
程序员文章站
2023-12-22 11:43:04
...
问题描述:在利用sql语句进行查询的时候,如果我们按照传入的某个参数进行查询,例如
当执行 read("' or 1 or '");时,相应的查询语句变为了 select id,name,money,birthday from user where name='' or 1or '';导致查询结果出错(or 1表示 当name为ture即存在时就满足条件),此时出现sql注入出错的问题。为此引入prepareStatement();
prepareStatement()写法:
String sql = "select id, name, money, birthday from user where name=?";
ps = conn.prepareStatement(sql);
ps.setString(1, name); //1代表第一个?的位置,将其替换成name变量
// 4.执行语句
rs = ps.executeQuery(); //此处不需要sql变量(对比statement),否则编译不会报错,运行报错(加sql变量代表的时statement类的函数,会将带有?的语句直 接传入)
PreperedStatement(从Statement扩展而来)相对Statement的优点:
1.没有SQL注入的问题。
2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。
因此:提倡用prepareStatement,特别是有字符串作为参数进行数据库操作的时候