爲什麼說盡量使用preparedStatement 代替 statement

時間  2021-01-20
標籤 jdbc SQL注入 欄目 Java 简体版
原文   原文鏈接
使用statement可能存在sql 注入的風險,下面是測試sql injection 的demo 假設登錄的sql是通過字符串拼接出來的,那麼我只要在用戶名框裏填上" 'xjbt' or 1=1 -- " 就可以無視判斷直接進入系統,因爲or 1=1恆成立,"--"將1=1後的語句全部註釋,所以肯定能查出數據,當然,現在的網站都會做基本的防sql注入處理,不過出於安全性考慮,帶參數的sql都應該
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程