用户名:qwer
密码:fdsa’or’1’='1
登录成功!
- SQL注入原因?
用户输入的信息中含有sql语句的关键字,【并且】这些关键字参与sql语句的编译过程。导致sql语句的原意被扭曲,进而达到sql注入
- 怎么解决SQl注入问题?
使用java.sql.PreparedStatement,该接口继承了java.sql.Statement接口。即使用户提供的信息含有sql语句关键字,但是没有参与编译,不起作用
- PreparedStatement属于预编译的数据库操作对象。
PreparedStatement原理:预先对sql语句的框架进行编译,然后再给sql语句传“值”
- PreparedStatement 避免了字符串拼接操作
Statement 存在 sql 注入问题 | PreparedStatement 解决了 SQL 注入问题 |
---|---|
Statement 编译一次执行一次 | PreparedStatement 编译一次,执行 N 次,故后者效率高 |
PreparedStatement 在编译阶段会进行类型的安全检查 |
- PreparedStatement 使用较多,只有极少数情况下需要使用 Statement。当业务要求必须支持 SQL 注入时,使用 Statement
比如:淘宝产品价格的升序和降序查看,就需要利用sql注入关键字 order by*“asc”或者“desc”*
- 使用PreparedStatement进行insert、update、delete、select