你的位置：首页 > 业界 > JDBC__PreparedStatement-预防SQL注入

JDBC__PreparedStatement-预防SQL注入

业界 admin 2025-01-31 2浏览 0评论

一、PreparedStatement介绍

二、SQL注入攻击

SQL注入（英语：SQL injection），是发生于应用程序与数据库层的安全漏洞。

简而言之，是在输入的字符串之中注入SQL指令

比如：

我们将该SQL语句打印出来看看

此时的SQL语句中的password部分变成了等于空返回false，但因为增加了or的恒等式1=1故语句整体返回为true

三、解决注入

创建PreparedStatement对象并在SQL里把参数改为？占位符

通过stme.setString()给占位符传递参数

一、PreparedStatement介绍

二、SQL注入攻击

SQL注入（英语：SQL injection），是发生于应用程序与数据库层的安全漏洞。

简而言之，是在输入的字符串之中注入SQL指令

比如：

我们将该SQL语句打印出来看看

此时的SQL语句中的password部分变成了等于空返回false，但因为增加了or的恒等式1=1故语句整体返回为true

三、解决注入

创建PreparedStatement对象并在SQL里把参数改为？占位符

通过stme.setString()给占位符传递参数

与本文相关的文章

评论列表 (0)

暂无评论