开发工具与关键技术: IntelliJ IDEA java
撰写时间:2020年9月18日
一、 问题:
SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全性问题。
比如:随便输入用户名,
输入密码:a’ or ‘a’ = ‘a
sql:select * from user where username = ‘随便’ and password = ‘a’ or ‘a’ = ‘a’
输入的密码类似于a’ or ‘a’ = 'a这样的格式的一般都是可以登陆成功的。这就存在用户登陆的安全性。
二、 登陆方法:
1、 登陆方法 Statement (不建议使用,有弊端)
三、 解决方法
2、登陆方法 使用PreparedStatement实现
四、 注意
1、 预编译的sql: 参数使用?作为占位符。
2、 如:select * from user where username = ? and password = ?;
3、 获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。
4、 给 ? 赋值:
方法: setXxx(参数1,参数2)
参数1: ?的位置编号 从1开始
参数2:?的值
5、使用PreparedStatement对象来解决,可以防止sql注入,效率更高。