目录
SQL注入:
SQL注入现象:
假如数据库的用户和密码是由用户自己输入传递给程序,而程序处理时采用了字符串拼接的形式,即:
String sql = "select * from **** where user = "+ user +"and password =" +password
假设考虑输入账户为fdsa,密码为 fdsa' or '1'='1
这样,最后生成的sql语句会为:
select * from **** where user = 'fdsa' and password = 'fdsa' or '1'= '1'
这样,此处where语句后的条件始终满足,用户可以随意登录!
SQL注入分析:
sql注入的根本原因:先进行了字符串的拼接,然后进行了sql语句的编译,这样,自己输入的内容也会参与sql语句的编译,具有安全隐患。
因此,我们只要先进行sql语句的编译,然后把输入的参数填入这个