SQL注入问题
【摘要】 问题描述:在初学javaWeb的时候,我们在进行数据库连接时会用一些sql语句来实现对数据库的增删改查操作,但当我们去实现一个简单的登录程序时,如果我们用平常的sql语句(比如直接获取登录时的用户名,然后用select语句去实现对数据库的查找操作,如果存在用户名,那就比较密码是否正确,如果不存在用户名,那直接返回错误)可能会出现sql注入问题:用户名'or1=1;#(如果使用这个去登录的...
问题描述:在初学javaWeb的时候,我们在进行数据库连接时会用一些sql语句来实现对数据库的增删改查操作,但当我们去实现一个简单的登录程序时,如果我们用平常的sql语句(比如直接获取登录时的用户名,然后用select语句去实现对数据库的查找操作,如果存在用户名,那就比较密码是否正确,如果不存在用户名,那直接返回错误)可能会出现sql注入问题:用户名'or1=1;#(如果使用这个去登录的话,不管你的用户名是否在数据库中,都会成功登录)
原始代码逻辑:
在执行完这个语句后会获得一个sql语句:
Statement会将sql语句整成字符串的形式,所以在解决sql注入问题时,就不能用Statement类
需要用PreparedStatement接口(预编译的sql的执行对象=>先进行编译,再接收参数) 
“?”占位符
不同之处(除了?):
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)