今天做项目时,leader要求项目必须实现sql注入的防护。虽然说听说过这个sql注入是通过在页面输入时,输入一些恶意的sql语句来达到欺骗数据库的目的,从而操作数据库,。
sql注入:
web页面表单的提交
输入域名或页面请求的查询字符串
防止方法
1.使用PreparedStatement对象,PreparedStatement是预编译的,也就是一条sql语句是在运行了一次之后,被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中
PreparedStatement对于批量处理可以大大提高效率.也叫JDBC存储过程
在执行SQL命令时,我们有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。
这样黑客就无法将参数传入到sql语句中,因为PreparedStatement所包含的sql 语句不是动态编译的。
使用PreparedStatement:是Statement的子接口,可以传入带占位符的SQL语句,提供了补充占位符变量的方法
未完待续。。。