一、SQL注入
是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库。
防范sql注入,只用PreparedStatement(由Statement扩展)取代Statement
CREATE TABLE admin(-- 管理员表
`name` VARCHAR(32) NOT NULL UNIQUE,
pwd VARCHAR(32) NOT NULL DEFAULT''
)CHARACTER SET utf8;
-- 添加数据
INSERT INTO admin VALUES('jack','123456')
SELECT*FROM admin WHERE `name`='jack'AND pwd='123456'
-- sql注入
-- 用户名为 1'or
-- 万能密码为 'OR'1'='1'
SELECT*FROM admin WHERE `name`='1'OR' AND pwd= 'OR'1'='1'