一、sql注入
sql语句拼接的方式容易被sql注入攻击,比如select * from user t where t.name='z' and t.passwd='123' or 1=1,如何黑客在你的参数中输入123' or 1=1',那么不管密码是多少,这条sql语句都执行成功,前提是知道了用户名。
二、屏蔽sql注入
sql语句使用占位符?或者命名参数name:的方式写sql语句,采取预编译原理即可屏蔽sql注入,也就是防止sql语句被数据库解释器直接编译即可。
持续更新中。。。