程宇寒 2018-11-08 10:20 采纳率: 100%
浏览 1139
已采纳

PreparedStatement防止sql注入的一些疑问?

我们都知道PreparedStatement可以防止sql注入,Statement会有sql注入的危险,却从来没关心过底层原理!数据库产商提供的数据库jar包中有PreparedStatement类。
说说我的理解,请大家指正!
这么一条sql语句: SELECT * FROM employees WHERE salary = ?
salary字段是数字类型的。

如果java中使用PreparedStatement来处理这条sql语句,我现在传入的值是8000 or 1 = 1

那么最终的sql语句为SELECT * FROM employees WHERE salary = '8000 or 1 = 1' (即PreparedStatement底层会在传入的值两边加上'单引号,而salary字段又是数字类型,所以最终这条sql语句估计会报错)
注意:如果填入的值中有'单引号,似乎也没关系,数据库产商的PreparedStatement底层的实现类照样在值的两边加上'单引号,并且会把值中的'单引号转义。
不知道大家怎么看呢?

  • 写回答

1条回答 默认 最新

  • threenewbee 2018-11-08 10:30
    关注

    PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么?
    SELECT * FROM employees WHERE salary = '8000' or '1' = 1'
    8000' or '1' = 1
    这样呢。
    JDBC层面,是可以参数化查询的,而这些参数并非通过sql语句插入,所以PreparedStatement可以杜绝注入

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 已采纳回答 3月21日

悬赏问题

  • ¥15 关于#java#的问题,请各位专家解答!
  • ¥15 急matlab编程仿真二阶震荡系统
  • ¥20 TEC-9的数据通路实验
  • ¥15 ue5 .3之前好好的现在只要是激活关卡就会崩溃
  • ¥50 MATLAB实现圆柱体容器内球形颗粒堆积
  • ¥15 python如何将动态的多个子列表,拼接后进行集合的交集
  • ¥20 vitis-ai量化基于pytorch框架下的yolov5模型
  • ¥15 如何实现H5在QQ平台上的二次分享卡片效果?
  • ¥30 求解达问题(有红包)
  • ¥15 请解包一个pak文件