用户在浏览器传递非法参数,如: ' or '1' = '1
传递到后端解析SQL时就会形成恒等式
如: select * from table where name=' ' or '1' = '1'
这是由于使用 Statement s= conn.Statement(拼接的sql)
如果使用PreparedStatement ,SQL写成name=?,在使用ps.getString(1,参数)
就可以避免SQL注入问题
用户在浏览器传递非法参数,如: ' or '1' = '1
传递到后端解析SQL时就会形成恒等式
如: select * from table where name=' ' or '1' = '1'
这是由于使用 Statement s= conn.Statement(拼接的sql)
如果使用PreparedStatement ,SQL写成name=?,在使用ps.getString(1,参数)
就可以避免SQL注入问题