java中preparedstatement为什么可以防止sql注入?不知道楼主用没有用过 select * from tab_name where name= "" name "" and
java中preparedstatement为什么可以防止sql注入?
不知道楼主用没有用过select * from tab_name where name= "" name "" and passwd="" passwd ""
把其中passwd换成 [" or "1" = "1] 这样就可《练:kě》以完成sql注入
更有可能对你的数(拼音:shù)据库表drop操作
如果使用preparedstatement的话就可以直接使用预澳门银河编译,PreparedStatement不允许在插入时改变[繁体:變]查询的逻辑结构.
举开云体育[繁:舉]例
select * from tab_name where name= "" name "" and passwd="" passwd ""
passwd就可以《读:yǐ》换成 ‘ or "1"="1
Statement stmt = con.createStatement()
ResultSet rs = stmt.executeQuery(sql)
preparedstatement
select * from tab_name where name=? and passwd=?
pstmt.setString(1, name)
pstmt.setString(2, passwd)
本文链接:http://21taiyang.com/Open-SourceComputers/22637269.html
通用[pinyin:yòng]防sql注入函数java版转载请注明出处来源
