Highrichshuai 2019-05-14 15:21 采纳率: 75%
浏览 1828
已采纳

jdbc防止sql注入是用预编译+字段拼接也行还是必须要预编译加?占位符?

private int chackId(String tableName,String idName,int step){
int returnId = 0;
DBHelper dbHelper = null;
ResultSet ret = null;

    String sql = "select Max(" + idName + ") from "
            + tableName;
    dbHelper = SqlMove.dbHelper;// 创建DBHelper对象
    try {
        ret = dbHelper.conn.prepareStatement(sql).executeQuery();
        while (ret.next()) {
            returnId =  ret.getInt(1)+step;
        }
    } catch (SQLException e) {
        e.printStackTrace();
    } 
    return returnId;
}
这个是不是就用了预编译加字段拼接?还可以防止注入吗
  • 写回答

2条回答 默认 最新

  • wangml010 2019-05-14 16:39
    关注

    使用预编译加占位符‘?’才能防止SQL注入,你这样拼接不会防止sql注入,
    说个用户登录的场景,我后台的查询语句是

    String username = paramName;
    String password = paramPwd;
    String sql = "select * from user where username="+paramName+" and password = "+paramPwd;
    

    如果前台用户输入的username是_**wangml010**_,password输入的是 "1" or 1=1,如果我是拼接字符串,那么我的查询语句就成了这样

    select * from user where username="wangml010" and password = "1" or 1=1
    

    试想一下是不是很危险,稍微懂点技术的人就会随意登录你的系统。
    相反占位符就不会出现这个问题,它会把传过来的参数进行转义,具体的转义方法可以看看源代码

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

悬赏问题

  • ¥15 聚类分析或者python进行数据分析
  • ¥15 逻辑谓词和消解原理的运用
  • ¥15 三菱伺服电机按启动按钮有使能但不动作
  • ¥15 js,页面2返回页面1时定位进入的设备
  • ¥50 导入文件到网吧的电脑并且在重启之后不会被恢复
  • ¥15 (希望可以解决问题)ma和mb文件无法正常打开,打开后是空白,但是有正常内存占用,但可以在打开Maya应用程序后打开场景ma和mb格式。
  • ¥20 ML307A在使用AT命令连接EMQX平台的MQTT时被拒绝
  • ¥20 腾讯企业邮箱邮件可以恢复么
  • ¥15 有人知道怎么将自己的迁移策略布到edgecloudsim上使用吗?
  • ¥15 错误 LNK2001 无法解析的外部符号