使用statement可能存在sql 注入的风险,下面是测试sql injection 的demo
假设登录的sql是通过字符串拼接出来的,那么我只要在用户名框里填上" 'xjbt' or 1=1 -- " 就可以无视判断直接进入系统,因为or 1=1恒成立,"--"将1=1后的语句全部注释,所以肯定能查出数据,当然,现在的网站都会做基本的防sql注入处理,不过出于安全性考虑,带参数的sql都应该用preparedstatement来代替statement。
这里用preparedstatement来代替statement
这里可以看到,什么都没有查出来。也就是or 1=1 --这个万能钥匙在这里失灵了,preparedstatement步入了电子锁的时代(误!),PreparedStatement防SQL注入的原理就是解析参数的每个字符,遇到特殊字符('或“就转义),并在参数的最前边和最后变分别添加一个单引号
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
