问题描述
用户输入一个城市编号,根据该城市编号,删除数据库中city表对应的记录。
正常执行:
注意,由于依赖于用户输入,用户就可以随便输入内容,拼接到sql语句中,假如用户的输入是:
100 or 1=1
请问,会出现什么结果?
以上这就称为sql注入问题
这种问题产生的根本原因就是,将用户输入的内容直接拼接到sql语句中执行!!!
解决办法
Preparement代替Statement
再次输入一直成立的id,它的结果只会删除掉id为12的城市,这样就解决了sql语句注入问题
使用以上这种占位符的方式,可以有效的防止sql注入问题,并且省去了拼接sql语句的复杂。
其实,PreparedStatement 是 Statement的子接口。