PrepareStatement防止sql注入笔记

　　原理是采用了预编译的方法，先将SQL语句中可被客户端控制的参数集进行编译，生成对应的临时变量集，再使用对应的设置方法，为临时变量集里面的元素进行赋值，赋值函数setString()，会对传入的参数进行强制类型检查和安全检查，所以就避免了SQL注入的产生。下面具体分析

　（1）：为什么Statement会被sql注入

　　因为Statement之所以会被sql注入是因为SQL语句结构发生了变化。比如：

"select*from tablename where username='"+uesrname+  
"'and password='"+password+"'"

　　在用户输入'or true or'之后sql语句结构改变。

select*from tablename where username=''or true or'' and password=''

　　这样本来是判断用户名和密码都匹配时才会计数，但是经过改变后变成了或的逻辑关系，不管用户名和密码是否匹配该式的返回值永远为true;

　（2）为什么Preparement可以防止SQL注入。

　　因为Preparement样式为

select*from tablename where username=? and password=?

　　该SQL语句会在得到用户的输入之前先用数据库进行预编译，这样的话不管用户输入什么用户名和密码的判断始终都是并的逻辑关系，防止了SQL注入

　　简单总结，参数化能防注入的原因在于，语句是语句，参数是参数，参数的值并不是语句的一部分，数据库只按语句的语义跑，至于跑的时候是带一个普通背包还是一个怪物，不会影响行进路线，无非跑的快点与慢点的区别。