一、SQL注入:
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
预防措施:
PreparedStatement 对输入数据进行预编译。将传入数据作为值,不带入到SQL中。注意的是PreparedStatement不能过滤%,
xml注入,$直接拼接sql. #预编译。 采用预编译方式,也就是上面的方式。
二、实体注入
内部实体和外部实体会引起xml注入。