参考链接:https://www.zhihu.com/question/268680479
如果不使用预编译,那么我们一般做查询或更新的条件,是用字符串拼起来的,例如zhuan
String id = (String)request.getAttribute("id"); //假设页面shu上传了一个id值过来
String SQL = "SELECT ID,NAME FROM USER WHERE ID='" + id + "'"; //拼接成一个完整的sql语句
初看没有什么不对,但是因为id是界面上客户输入的,所以如果没有进入校验,有人输入了一个aa’ or ‘1’='1 把这个值代入到上面的sql语句里面,那么我们最后拼接的sql语句就会变成
SELECT ID,NAME FROM USER WHERE ID='aa' or '1'='1'
这样就能查到了所有的数据,也就是SQL注入
但是,如果用preparedstatement的话,就没有这个问题
String sql = "insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)";
perstmt = con.prepareStatement(sql);
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();
流程大致如下:
- 解析阶段
- 编译阶段
- 优化阶段
- 缓存阶段
- 执行阶段
PrepareStatement发送到服务器后会经历上述1、2、3、4过程,PrepareStatement并不是完整的sql语句,在执行之前还需要进行用户数据替换。在填入用户数据时,PrepareStatement已经经历了上述过程,就不会重新编译,用户的数据只能作为数据进行填充,而不是sql的一部分。服务器从缓存中获得已经编译优化后的语句,替换掉用户数据执行,避免了sql注入。