m0_49694305
水无月白_yy
2020-08-27 15:31
采纳率: 40%
浏览 99
已采纳

请教关于PreparedStatement为什么能解决 sql注入的问题?通俗一点

 public void login3() throws Exception {
        //定义变量保存用户名和密码
        String user_name = "zhangsan' -- ";
        String pwd = "1239181iaua";
        //1.获取连接
        Connection conn = JDBCUtils01.getConnection();
        //2.获取预编译接口对象
        /*
            PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。
            参数:sql表示预编译的sql语句,含有占位符
         */
        PreparedStatement pst = conn.prepareStatement("SELECT * FROM user WHERE username=? AND password=?");
        //3.给占位符赋值
        /*
            void setString(int parameterIndex, String x) 将指定参数设置为给定 Java String 值。
            参数:
                parameterIndex:parameterIndex - 第一个占位符是 1,第二个占位符是 2,……
                x:给占位符赋的实际值
         */
        pst.setString(1,user_name);//第一个参数1表示给上述sql语句中第一个占位符  user_name 表示赋的实际值
        pst.setString(2,pwd);//第一个参数2表示给上述sql语句中第2个占位符  pwd 表示赋的实际值
        //4.将数据发送给数据库使用预编译接口PreparedStatement中的方法:
        //ResultSet executeQuery()
        ResultSet rs = pst.executeQuery();
        //5.处理结果集
        if(rs.next()){
            //取出数据
            int id = rs.getInt("id");
            String username = rs.getString("username");
            String password = rs.getString("password");
            System.out.println("登录成功:id:"+id+",username:"+username+",password:"+password);
        }else{
            System.out.println("用户名或者密码错误");
        }
  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 邀请回答

2条回答 默认 最新

相关推荐