PreparedStatement可以防止sql注入的原因

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011649691/article/details/83054651

之前没深究这个问题,看其他人的回答,总结原因有:
1、PreparedStatement是预编译的
2、PreparedStatement参数不是简单拼接生成sql,而是先用?占位,之后再根据参数产生sql

但是上述原因都禁不起深究,毕竟不论是PreparedStatement还是Statement不都是最终传sql进数据库么?以上两个原因都无法避免sql注入。

深究一下,特别是查看网页
https://blog.csdn.net/lisehouniao/article/details/51523497
后,发现最重要的原因应该是:
PreparedStatement不是将参数简单拼凑成sql,而是做了一些预处理,将参数转换为string,两端加单引号,将参数内的一些特殊字符(换行,单双引号,斜杠等)做转义处理,这样就很大限度的避免了sql注入。

展开阅读全文

没有更多推荐了,返回首页