使用SQL注入错误演示和防止SQL注入
本文针对不理解SQL注入进行讲解,先演示一个SQL注入案例,当sname乱写或者写错的情况下去查询本应该是没有的,但人为拼接'or'a'='a后;可以发现原SQL语句变成了select*fromtb_stuwheresname='曾de皮'or'a'='a',既然成立了。然后根据问题去使用prepareStatement预编译的方式,先把格式定下来,即使人为拼接'or'a'='a,也只会认为它是一体的不会拆分。
本文针对不理解SQL注入进行讲解,先演示一个SQL注入案例,当sname乱写或者写错的情况下去查询本应该是没有的,但人为拼接'or'a'='a后;可以发现原SQL语句变成了select*fromtb_stuwheresname='曾de皮'or'a'='a',既然成立了。然后根据问题去使用prepareStatement预编译的方式,先把格式定下来,即使人为拼接'or'a'='a,也只会认为它是一体的不会拆分。