JDBC-防止sql注入漏洞
使用预编译可有效防止sql的注入漏洞。
原因:在statement中不能够有效的防止sql的注入漏洞,在于用户传入参数的时候可能会传入一些特殊字符,比如单引号' ' ,或者是-- 这种会影响到我们的sql语句.
所以使用预编译中的占位符,也就是?,可以有效的处理这一问题.
public class Prepared { @Test public void papa(){ Connection conn = null; PreparedStatement pstmt = null; ResultSet rs = null; try{ //注册驱动 // Class.forName(com.MysqL.jdbc.Driver); //建立连接 // conn = DriverManager.getConnection(jdbc:MysqL://localhost:3306/user,root,dumy); conn =JDBCUtils.getConnection(); //编写sql代码 //String sql = select * from administer where id = ?; String sql = select * from administer where username = ? and password =?; //预编译 pstmt = conn.prepareStatement(sql); //给? 赋值 pstmt.setString(1, ddd); pstmt.setString(2, 123); rs= pstmt.executeQuery(); while(rs.next()){ System.out.println(登录成功); } }catch(Exception e){ e.printstacktrace(); }finally{ JDBCUtils.release(pstmt, conn, rs); } } }
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。