1、什么是
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
//比如这是一个用户登录Dao层的查询操作
select * from user where username=? and password =?;
//username 和 password通过web表单穿过来
例如:
username=admin
password=admin
查询语句为:
select * from user where username=admin and password =admin;
sql注入:
username=admin ' or 1=1 --
password=admin
sql语句:
select * from user where username=admin or 1=1 and password =admin;
此时就会造成无密码登录!!!
2、Statement 与 PreparedStatement的区别
1、PreparedStatement支持动态设置参数,Statement不支持
2、PreparedStatement支持预编译,可防止sql注入,更加安全,Statement不支持
3、如何防止sql注入
1、采用PreparedStatement来避免sql注入,会自动对用户填写的数据进行验证(简单有效)
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.
2、使用正则表达式过滤传入的参数(典型的SQL 注入攻击的正则表达式 )
3、字符串过滤,敏感词过滤