public void login3() throws Exception {
//定义变量保存用户名和密码
String user_name = "zhangsan' -- ";
String pwd = "1239181iaua";
//1.获取连接
Connection conn = JDBCUtils01.getConnection();
//2.获取预编译接口对象
/*
PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。
参数:sql表示预编译的sql语句,含有占位符
*/
PreparedStatement pst = conn.prepareStatement("SELECT * FROM user WHERE username=? AND password=?");
//3.给占位符赋值
/*
void setString(int parameterIndex, String x) 将指定参数设置为给定 Java String 值。
参数:
parameterIndex:parameterIndex - 第一个占位符是 1,第二个占位符是 2,……
x:给占位符赋的实际值
*/
pst.setString(1,user_name);//第一个参数1表示给上述sql语句中第一个占位符 user_name 表示赋的实际值
pst.setString(2,pwd);//第一个参数2表示给上述sql语句中第2个占位符 pwd 表示赋的实际值
//4.将数据发送给数据库使用预编译接口PreparedStatement中的方法:
//ResultSet executeQuery()
ResultSet rs = pst.executeQuery();
//5.处理结果集
if(rs.next()){
//取出数据
int id = rs.getInt("id");
String username = rs.getString("username");
String password = rs.getString("password");
System.out.println("登录成功:id:"+id+",username:"+username+",password:"+password);
}else{
System.out.println("用户名或者密码错误");
}
请教关于PreparedStatement为什么能解决 sql注入的问题?通俗一点
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
threenewbee 2020-08-27 15:49关注主要是避免了参数拼接。
"SELECT * FROM user WHERE username=" + user_name + " AND password=" + pwd;
这种情况,如果user_name是 '' or 1 = 1
那么就会返回所有的数据但是PreparedStatement参数是单独提交给数据库系统的,不经过拼接,不能构成查询的一部分,所以没问题。
问题解决的话,请一定记得采纳下我的回答
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决评论 打赏无用 1举报 分享
- 2018-11-08 10:20回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
- 2022-08-10 17:21回答 1 已采纳 所以说,你的报错是啥?
- 2018-11-09 07:13回答 1 已采纳 str = str.replace("%","\\%"); str就是用户输入的,因为在java中\是转义字符,表达一个\就是\\, 在数据库中一个\%代表的是字符'%'不会有特殊含义。
- 2021-08-11 21:09白鸽呀的博客 1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 ...
- 2021-06-11 17:22回答 1 已采纳 报错了
- 2023-03-30 10:26回答 4 已采纳 return需要放在函数中吧,删掉。 https://blog.csdn.net/love_life_forever/article/details/83421614
- 2022-09-06 23:43回答 1 已采纳 实体类中的字段名出错了,看一下sql语句中的bouns跟数据库里的是否一致,还有实体类中是否正确,检查数据库中的字段名与实体类中的字段名是否一致,特别要注意单词字母,比如数据库中没有该字段,实体类中出
- 2021-06-03 01:01海洋的渔夫的博客 7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
- 2023-01-03 15:44回答 3 已采纳 你是sqlServer的数据库为啥用mysql的驱动路径,而且你也没引用mysql的驱动jar包吧
- 2022-08-10 16:53回答 2 已采纳 rs.next()那里?结果没有数据?你还是截图然后圈出来并且附上注释比较好吧
- 2022-04-19 16:29回答 2 已采纳 MSSQL使用row_number开窗函数分页;with t as (select *,row_number() over (order by id) as RN from score)select
- 2023-12-02 08:18于山上之明月的博客 本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
- 2022-09-29 14:23chen-10086的博客 PreparedStatement对象解决sql注入问题
- 2021-05-27 13:21征程123的博客 为什么PreparedStatement能防止sql注入呢? 因为sql语句是预编译的,而且语句中使用了占位符,规定了sql语句的结构。 用户可以设置"?"的值,但是不能改变sql语句的结构, 因此想在sql语句后面加上如“or 1=1”(1=1...
- 2021-12-10 15:11ali48的博客 PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结 由最终执行的 SQL 可以看出,PreparedStatement ...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 用verilog实现tanh函数和softplus函数
- ¥15 Hadoop集群部署启动Hadoop时碰到问题
- ¥15 求京东批量付款能替代天诚
- ¥15 slaris 系统断电后,重新开机后一直自动重启
- ¥15 QTableWidget重绘程序崩溃
- ¥15 谁能帮我看看这拒稿理由啥意思啊阿啊
- ¥15 关于vue2中methods使用call修改this指向的问题
- ¥15 idea自动补全键位冲突
- ¥15 请教一下写代码,代码好难
- ¥15 iis10中如何阻止别人网站重定向到我的网站