public void login3() throws Exception {
//定义变量保存用户名和密码
String user_name = "zhangsan' -- ";
String pwd = "1239181iaua";
//1.获取连接
Connection conn = JDBCUtils01.getConnection();
//2.获取预编译接口对象
/*
PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。
参数:sql表示预编译的sql语句,含有占位符
*/
PreparedStatement pst = conn.prepareStatement("SELECT * FROM user WHERE username=? AND password=?");
//3.给占位符赋值
/*
void setString(int parameterIndex, String x) 将指定参数设置为给定 Java String 值。
参数:
parameterIndex:parameterIndex - 第一个占位符是 1,第二个占位符是 2,……
x:给占位符赋的实际值
*/
pst.setString(1,user_name);//第一个参数1表示给上述sql语句中第一个占位符 user_name 表示赋的实际值
pst.setString(2,pwd);//第一个参数2表示给上述sql语句中第2个占位符 pwd 表示赋的实际值
//4.将数据发送给数据库使用预编译接口PreparedStatement中的方法:
//ResultSet executeQuery()
ResultSet rs = pst.executeQuery();
//5.处理结果集
if(rs.next()){
//取出数据
int id = rs.getInt("id");
String username = rs.getString("username");
String password = rs.getString("password");
System.out.println("登录成功:id:"+id+",username:"+username+",password:"+password);
}else{
System.out.println("用户名或者密码错误");
}
请教关于PreparedStatement为什么能解决 sql注入的问题?通俗一点
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
threenewbee 2020-08-27 15:49关注主要是避免了参数拼接。
"SELECT * FROM user WHERE username=" + user_name + " AND password=" + pwd;
这种情况,如果user_name是 '' or 1 = 1
那么就会返回所有的数据但是PreparedStatement参数是单独提交给数据库系统的,不经过拼接,不能构成查询的一部分,所以没问题。
问题解决的话,请一定记得采纳下我的回答
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决评论 打赏无用 1举报 分享
- 2020-08-27 15:31回答 2 已采纳 主要是避免了参数拼接。 "SELECT * FROM user WHERE username=" + user_name + " AND password=" + pwd; 这种情况,如果user
- 2018-11-08 10:20回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
- 2022-08-10 17:21回答 1 已采纳 所以说,你的报错是啥?
- 2021-08-11 21:09白鸽呀的博客 1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 ...
- 2018-11-09 07:13回答 1 已采纳 str = str.replace("%","\\%"); str就是用户输入的,因为在java中\是转义字符,表达一个\就是\\, 在数据库中一个\%代表的是字符'%'不会有特殊含义。
- 2021-06-11 17:22回答 1 已采纳 报错了
- 2023-03-30 10:26回答 4 已采纳 return需要放在函数中吧,删掉。 https://blog.csdn.net/love_life_forever/article/details/83421614
- 2021-06-03 01:01海洋的渔夫的博客 7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
- 2022-09-06 23:43回答 1 已采纳 实体类中的字段名出错了,看一下sql语句中的bouns跟数据库里的是否一致,还有实体类中是否正确,检查数据库中的字段名与实体类中的字段名是否一致,特别要注意单词字母,比如数据库中没有该字段,实体类中出
- 2023-01-03 15:44回答 3 已采纳 你是sqlServer的数据库为啥用mysql的驱动路径,而且你也没引用mysql的驱动jar包吧
- 2022-08-10 16:53回答 2 已采纳 rs.next()那里?结果没有数据?你还是截图然后圈出来并且附上注释比较好吧
- 2023-12-02 08:18于山上之明月的博客 本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
- 2022-04-19 16:29回答 2 已采纳 MSSQL使用row_number开窗函数分页;with t as (select *,row_number() over (order by id) as RN from score)select
- 2022-09-29 14:23chen-10086的博客 PreparedStatement对象解决sql注入问题
- 2021-11-19 12:49一切随缘~~~的博客 下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 metadata提取的PDF元数据,如何转换为一个Excel
- ¥15 关于arduino编程toCharArray()函数的使用
- ¥100 vc++混合CEF采用CLR方式编译报错
- ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
- ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
- ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同
- ¥50 如何openEuler 22.03上安装配置drbd
- ¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
- ¥15 无线连接树莓派,无法执行update,如何解决?(相关搜索:软件下载)
- ¥15 Windows11, backspace, enter, space键失灵