使用 Statement 运行sql语句 可能会发生SQL注入
一般在用户登录时发生
例:
//一个SQL语句
String sql=“select * from t_ble where username=’”+username+"’ AND password=’"+password+"’";
当我们从外部传入 uesrnem 与 password 时
若传入 username:fdsa
password:fdsa’ or ‘1’='1 时
进行编译的sql语句为:
select * from t_ble where username=‘fdsa’ AND password=‘fdsa’ or ‘1’=‘1’(恒成立)
这样不论用户名和密码是否正确 都可以通过
以上正好完成了sql语句的拼接,发送sql语句给DBMS,DBMS进行sql编译,将非法信息编译进去导致原sql语句含义扭曲,进而达到sql注入
解决SQL注入:
使用户提供的信息不参与SQL语句的编译过程 就可以解决SQL注入
使用java.sql.PreparedStatement可使用户输入信息不参与编译
PreparedStatement继承了java.sql.Statement
PreparedStatement属于预编译的数据库操作对象
PreparedStatement的原理:与先对SQL框架进行编译,然后再给其传值
解决例子的SQL注入:
Connection conn=null;
ResultSet rs=null;
PreparedStatement ps=null;
//将sql语句的框子进行预编译 ‘?’ 为占位符 两边不写单引号
String sql=“select * from t_ble where username=? AND password=?”;
ps=conn.prepareStatement(sql);
//对占位符?进行赋值 第一个?下标为1 第二个?下标为2
ps.setString(1,username);
ps.setString(2,password);
这样不论用户输入什么都不会发生SQL注入了
对比PreparedStatemnet与Statement
1.prapereedStatement解决了SQL注入
2.prapereedStatement效率更高(因为Statement每次数据更改就重新编译一次 prapereedStatement只需要编译一次)
3.prapereedStatement有安全检查
当业务必须要求sql注入时 用Statement