【JDBC】
1、预编译语句
预编译语句会事先把SQL语句编译好,执行时仅仅需要用传入的参数代替掉?占位符即可。
2、存储过程
存储过程(Stored Procedure)是一组完成特定功能的SQL语句集。经编译后存储在数据库中,用户通过调用存储过程并给定参数(如果该存储过程带有参数)就可以执行它,也可以避免SQL注入攻击。
【Mybatis】
1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
2、$将传入的数值直接显示生成在SQL中。
3、#方式能够很大程度上防止SQL注入,$方式无法防止SQL注入。
4、$方式一般用于传入数据库对象,例如传入表名。
5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工做好过滤工作,来防止SQL注入攻击。
注:
#{}:相当于JDBC中的PreparedStatement
${}:是输出变量的值
【Hibernate】
Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程的思维操纵数据库。
1、对参数名称进行绑定
2、对参数位置进行绑定
3、set Parameter()方法
4、set Properties()方法
5、HQL拼接方法----推荐使用Spring工具包的StringEscapeUtils.escapesql()方法对参数进行过滤