public void login3() throws Exception {
//定义变量保存用户名和密码
String user_name = "zhangsan' -- ";
String pwd = "1239181iaua";
//1.获取连接
Connection conn = JDBCUtils01.getConnection();
//2.获取预编译接口对象
/*
PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。
参数:sql表示预编译的sql语句,含有占位符
*/
PreparedStatement pst = conn.prepareStatement("SELECT * FROM user WHERE username=? AND password=?");
//3.给占位符赋值
/*
void setString(int parameterIndex, String x) 将指定参数设置为给定 Java String 值。
参数:
parameterIndex:parameterIndex - 第一个占位符是 1,第二个占位符是 2,……
x:给占位符赋的实际值
*/
pst.setString(1,user_name);//第一个参数1表示给上述sql语句中第一个占位符 user_name 表示赋的实际值
pst.setString(2,pwd);//第一个参数2表示给上述sql语句中第2个占位符 pwd 表示赋的实际值
//4.将数据发送给数据库使用预编译接口PreparedStatement中的方法:
//ResultSet executeQuery()
ResultSet rs = pst.executeQuery();
//5.处理结果集
if(rs.next()){
//取出数据
int id = rs.getInt("id");
String username = rs.getString("username");
String password = rs.getString("password");
System.out.println("登录成功:id:"+id+",username:"+username+",password:"+password);
}else{
System.out.println("用户名或者密码错误");
}
![](https://profile-avatar.csdnimg.cn/default.jpg!4)
请教关于PreparedStatement为什么能解决 sql注入的问题?通俗一点
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
- 邀请回答
-
2条回答 默认 最新
- threenewbee 2020-08-27 15:49关注
主要是避免了参数拼接。
"SELECT * FROM user WHERE username=" + user_name + " AND password=" + pwd;
这种情况,如果user_name是 '' or 1 = 1
那么就会返回所有的数据但是PreparedStatement参数是单独提交给数据库系统的,不经过拼接,不能构成查询的一部分,所以没问题。
问题解决的话,请一定记得采纳下我的回答
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决评论 打赏 举报无用 1
悬赏问题
- ¥15 metadata提取的PDF元数据,如何转换为一个Excel
- ¥15 关于arduino编程toCharArray()函数的使用
- ¥100 vc++混合CEF采用CLR方式编译报错
- ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
- ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
- ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同
- ¥50 如何openEuler 22.03上安装配置drbd
- ¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
- ¥15 无线连接树莓派,无法执行update,如何解决?(相关搜索:软件下载)
- ¥15 Windows11, backspace, enter, space键失灵