preparedstatement为什么比statement安全

preparedstatement对sql语句进行预编译，所以安全，而statement可能会有恶意sql语句的情况,就是检查登录username userpassword后跟 or 1=1这样的恶意sql语句，请问这个预编译为什么安全

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
threenewbee 2015-10-12 15:23
关注
预编译不是拼接字符串，所以没有sql注入的风险。拼接sql的问题是，你的参数和sql语句体本身分不出来。如果username是

abc' or '1' = '1

拼接上你外面的sql，就构成了一个含义不同的sql语句。

而preparedstatement直接把参数代入编译，而不是让数据库去解析sql中的参数，就没有这个问题。
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

请教关于PreparedStatement为什么能解决 sql注入的问题？通俗一点 java mysql
2020-08-27 15:31

回答 2 已采纳主要是避免了参数拼接。 "SELECT * FROM user WHERE username=" + user_name + " AND password=" + pwd; 这种情况，如果user
java中的PreparedStatement对%百分号的处理？ java
2018-11-09 07:13

回答 1 已采纳 str = str.replace("%","\\%"); str就是用户输入的，因为在java中\是转义字符，表达一个\就是\\, 在数据库中一个\%代表的是字符'%'不会有特殊含义。
PreparedStatement的性能问题 java mysql
2022-09-19 10:05

回答 3 已采纳你是希望执行的快一些吗，那你应该使用批处理操作缓存参数注入模板来加速 public static void PreparedStatementTest() throws Exception{
PreparedStatement 大数据查询
2021-07-30 14:53

精英丶阿琦的博客 PreparedStatement 大数据查询慢解决办法前言项目有个需求需要查询从A库取1000w条数据搬到B库，这边需要支持不同的数据库类型，并且sql是根据客户动态配置出来的，所以就选择了PreparedStatement，后来不懈努力...
java，PreparedStatement,删除时能否加入like java
2017-05-10 07:22

回答 2 已采纳 SQL：select * from students where name like '%tommy%'; 正常的sql如上，是可以直接执行的，那放到java的P热怕热的Statemen
这样用PreparedStatement 是否是线程安全的？
2010-08-21 10:49

回答 1 已采纳是安全的 :roll:
java关闭resultset，connection，preparedstatement出错 eclipse java tomcat
2022-04-24 15:34

回答 2 已采纳代码改动： try{ String url = "jfdbc:mysql://localhost:3306/bookstoredb"; conn = Drive
statement接口预处理PreparedStatement
2020-07-22 11:47

訴山海的博客 statement 操作数据库创建接口对象 create sequence 序列 executeUpdate(sql);//增删改操作 eg 1.创建一个数据库member字段为mid,name,age,birthday,note 2. public class Test1 { //插入 public static final ...
PreparedStatement防止sql注入的一些疑问? sql
2018-11-08 10:20

回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数，所以根本不存在添加单引号一说。再说，添加单引号就不能注入了么？ SELECT * FROM employees WHERE salar
Java使用PreparedStatement时setstring后列名自动加上了单引号，怎么办？ eclipse mysql
2020-12-28 11:46

回答 1 已采纳这么写自然会按照人家的格式进行变量替换啊，string类型的必然给你加单引啊。直接拼到 sqlQueryBy里不就完事了。如果不能这么干，了解下框架写法，看看有没有不自动类型匹配的，比如像mybati
JAVA,JDBC中使用PrepareStatement进行查询，如何去除setString时自动添加的引号？ java
2020-04-16 17:12

回答 2 已采纳建议就不要用?了，直接拼字符串。一般？用在where条件的，而且直接“selecct * from websites where id=?”,不用拼接的。如果多个筛选值建议先StringBuild
JDBC-07：PreparedStatement批量插入数据
2022-11-07 20:10

金士曼的博客 PreparedStatement批量插入数据
PreparedStatement，有没有方法获取某个表最后一行的方法？
2017-06-01 05:14

回答 5 已采纳使用 ResultSet 类的last() 方法可以定位到最后一行: rs.last(); PreparedStatement 是通过sql 对数据库进行操作. sql 一般是通过倒序取
PrepareStatement和Statement的对比
2021-12-30 11:18

数据与后端架构提升之路的博客 PrepareStatement和Statement的对比
执行对象Statement、PreparedStatement和CallableStatement详解 JDBC简介（五）
2019-01-23 09:55

程序员潇然的博客执行对象Statement、PreparedStatement和CallableStatement详解 JDBC简介（五）执行对象是SQL的执行者，SQL是“安排好的任务”，执行对象就是“实际工作的人”。执行对象有三种： Statement、...
没有解决我的问题, 去提问

悬赏问题

¥15 多电路系统共用电源的串扰问题
¥15 slam rangenet++配置
¥15 有没有研究水声通信方面的帮我改俩matlab代码
¥15 对于相关问题的求解与代码
¥15 ubuntu子系统密码忘记
¥15 信号傅里叶变换在matlab上遇到的小问题请求帮助
¥15 保护模式-系统加载-段寄存器
¥15 电脑桌面设定一个区域禁止鼠标操作
¥15 求NPF226060磁芯的详细资料
¥15 使用R语言marginaleffects包进行边际效应图绘制

preparedstatement为什么比statement安全

2条回答 默认 最新

悬赏问题

2条回答默认最新