使用SQL注入错误演示和防止SQL注入

eatingwang57622 23 0 JAVA 2020-05-15 04:05:27

本文针对不理解SQL注入进行讲解,先演示一个SQL注入案例,当sname乱写或者写错的情况下去查询本应该是没有的,但人为拼接'or'a'='a后;可以发现原SQL语句变成了select*fromtb_stuwheresname='曾de皮'or'a'='a',既然成立了。然后根据问题去使用prepareStatement预编译的方式,先把格式定下来,即使人为拼接'or'a'='a,也只会认为它是一体的不会拆分。

用户评论
请输入评论内容
评分:
暂无评论