网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
复制代码
preparedStatement 预编译对象会对传入sql进行预编译,那么当传入id 字符串为 "update ft\_proposal set id = 3;drop table ft\_proposal;" 这种情况下就会导致sql注入删除ft\_proposal这张表。
如何防止sql注入,首先将要执行sql进行预编译,然后在将占位符进行替换
String sql = “update ft_proposal set id = ?”
PreparedStatement ps = conn.preparedStatement(sql);
ps.setString(1,“2”);
ps.executeUpdate();
复制代码
处理使用预编译语句之外,[java培训](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)另一种实现方式可以采用存储过程,存储过程其实也是预编译的,存储过程是sql语句的集合,将所有预编译的sql 语句编译完成后,存储在数据库上,由于存储过程比较死板一般不采用这种方式进行处理。
二、mybatis是如何处理sql注入的?
假设mapper.xml文件中sql查询语句为:
select name from user where id = #{userid}; 复制代码 ```
对应的接口为:
public String findById(@param("userId")String userId);
复制代码
当传入的参数为3;drop table user; 当我们执行时可以看见打印的sql语句为:
select name from usre where id = ?;
不管输入何种参数时,都可以防止sql注入,因为mybatis底层实现了预编译,底层通过prepareStatement预编译实现类对当前传入的sql进行了预编译,这样就可以防止sql注入了。
如果将查询语句改写为:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**