目录
3.3 使用PreparedStatement改进SQL注入
使用Statement操作数据表的弊端:
(1)存在拼接SQL操作,非常繁琐
String sql = "UPDATE student SET sid='"+stu.getSid()+"',name='"+stu.getName()+"',age='"+stu.getAge()+"',birthday='"+birthday+"' WHERE sid='"+stu.getSid()+"'";
使用Statement需要拼写SQL语句,很辛苦,而且容易出错
(2)存在SQL注入问题
SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令(如:
SELECT user, password FROM user_table WHERE user='a' AND password = '1