java中preparedstatement为什么可以防止sql注入?不知道楼主用没有用过 select * from tab_name where name= "" name "" and
java中preparedstatement为什么可以防止sql注入?
不知道楼主用没有用过select * from tab_name where name= "" name "" and passwd="" passwd ""
把其中p皇冠体育asswd换成 [" or "1" = "1] 这[zhè]样就可以完成sql注入
更有【yǒu】澳门伦敦人可能对你的数据库表drop操作
如果使用preparedstatement的话就可以直接使用预编译,PreparedStatement不允许在插入时改变查询的逻辑结构.
举例[pinyin:lì]
select * from tab_name where name= "" name "" and passwd="" passwd ""
passwd就可以(yǐ)换成 ‘ or "1"="1
Statement stmt = con.createStatement()
ResultSet rs = stmt.executeQuery(sql)
preparedstatement
PreparedStatement pst = con.prepareStatement(sql)
pstmt.setString(2, passwd)
ResultSet rs = pstmt.executeQuery()
本文链接:http://21taiyang.com/Gyms/22637269.html
通用防sql注入{rù}函数java版转载请注明出处来源
