public void login3() throws Exception {
//定义变量保存用户名和密码
String user_name = "zhangsan' -- ";
String pwd = "1239181iaua";
//1.获取连接
Connection conn = JDBCUtils01.getConnection();
//2.获取预编译接口对象
/*
PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。
参数:sql表示预编译的sql语句,含有占位符
*/
PreparedStatement pst = conn.prepareStatement("SELECT * FROM user WHERE username=? AND password=?");
//3.给占位符赋值
/*
void setString(int parameterIndex, String x) 将指定参数设置为给定 Java String 值。
参数:
parameterIndex:parameterIndex - 第一个占位符是 1,第二个占位符是 2,……
x:给占位符赋的实际值
*/
pst.setString(1,user_name);//第一个参数1表示给上述sql语句中第一个占位符 user_name 表示赋的实际值
pst.setString(2,pwd);//第一个参数2表示给上述sql语句中第2个占位符 pwd 表示赋的实际值
//4.将数据发送给数据库使用预编译接口PreparedStatement中的方法:
//ResultSet executeQuery()
ResultSet rs = pst.executeQuery();
//5.处理结果集
if(rs.next()){
//取出数据
int id = rs.getInt("id");
String username = rs.getString("username");
String password = rs.getString("password");
System.out.println("登录成功:id:"+id+",username:"+username+",password:"+password);
}else{
System.out.println("用户名或者密码错误");
}
请教关于PreparedStatement为什么能解决 sql注入的问题?通俗一点
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
- 邀请回答
-
2条回答 默认 最新
- threenewbee 2020-08-27 15:49关注
主要是避免了参数拼接。
"SELECT * FROM user WHERE username=" + user_name + " AND password=" + pwd;
这种情况,如果user_name是 '' or 1 = 1
那么就会返回所有的数据但是PreparedStatement参数是单独提交给数据库系统的,不经过拼接,不能构成查询的一部分,所以没问题。
问题解决的话,请一定记得采纳下我的回答
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决评论 打赏 举报无用 1
悬赏问题
- ¥15 【提问】基于Invest的水源涵养
- ¥20 微信网友居然可以通过vx号找到我绑的手机号
- ¥15 spring后端vue前端
- ¥15 寻一个支付宝扫码远程授权登录的软件助手app
- ¥15 解riccati方程组
- ¥15 display:none;样式在嵌套结构中的已设置了display样式的元素上不起作用?
- ¥15 使用rabbitMQ 消息队列作为url源进行多线程爬取时,总有几个url没有处理的问题。
- ¥15 Ubuntu在安装序列比对软件STAR时出现报错如何解决
- ¥50 树莓派安卓APK系统签名
- ¥65 汇编语言除法溢出问题