java中preparedstatement为什么可以防止sql注入?不知道楼主用没有用过 select * from tab_name where name= "" name "" and
java中preparedstatement为什么可以防止sql注入?
不知道楼主用没有用过
select * from tab_name where name= "" name "" and passwd="" passwd ""
把其[练:qí]中passwd换成 [" or "1" = "1] 这样就可以完成sql注入
更有可能澳门金沙对你的数据库[繁体:庫]表drop操作
如果使用preparedstatement的话就可以直接使用预编译,PreparedStatement不允许在插入时改变查询的逻辑结构.
举例【pinyin:lì】
statement
select * from tab_name where name= "" name "" and passwd="" passwd ""
passwd就可《读:kě》以换成 ‘ or "1"="1
Statement stmt = con.createStatement()
ResultSet rs = stmt.executeQuery(sql)
preparedstatement
PreparedStatement pst = con.prepareStatement(sql)
本文链接:http://21taiyang.com/Family/22637269.html
通用防sql注入函{pinyin:hán}数java版转载请注明出处来源