preparedstatement对sql语句进行预编译,所以安全,而statement可能会有恶意sql语句的情况,就是检查登录username userpassword后跟 or 1=1这样的恶意sql语句,请问这个预编译为什么安全
preparedstatement为什么比statement安全
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
threenewbee 2015-10-12 15:23关注预编译不是拼接字符串,所以没有sql注入的风险。拼接sql的问题是,你的参数和sql语句体本身分不出来。如果username是
abc' or '1' = '1拼接上你外面的sql,就构成了一个含义不同的sql语句。
而preparedstatement直接把参数代入编译,而不是让数据库去解析sql中的参数,就没有这个问题。
解决 无用评论 打赏举报 分享
- 2020-08-27 15:31回答 2 已采纳 主要是避免了参数拼接。 "SELECT * FROM user WHERE username=" + user_name + " AND password=" + pwd; 这种情况,如果user
- 2018-11-09 07:13回答 1 已采纳 str = str.replace("%","\\%"); str就是用户输入的,因为在java中\是转义字符,表达一个\就是\\, 在数据库中一个\%代表的是字符'%'不会有特殊含义。
- 2022-09-19 10:05回答 3 已采纳 你是希望执行的快一些吗,那你应该使用批处理操作缓存参数注入模板来加速 public static void PreparedStatementTest() throws Exception{
- 2021-07-30 14:53精英丶阿琦的博客 PreparedStatement 大数据查询慢解决办法 前言 项目有个需求需要查询从A库取1000w条数据搬到B库,这边需要支持不同的数据库类型,并且sql是根据客户动态配置出来的,所以就选择了PreparedStatement,后来不懈努力...
- 2017-05-10 07:22回答 2 已采纳 SQL:select * from students where name like '%tommy%'; 正常的sql如上,是可以直接执行的, 那放到java的P热怕热的Statemen
- 2010-08-21 10:49回答 1 已采纳 是安全的 :roll:
- 2022-04-24 15:34回答 2 已采纳 代码改动: try{ String url = "jfdbc:mysql://localhost:3306/bookstoredb"; conn = Drive
- 2020-07-22 11:47訴山海的博客 statement 操作数据库创建接口对象 create sequence 序列 executeUpdate(sql);//增删改操作 eg 1.创建一个数据库member字段为mid,name,age,birthday,note 2. public class Test1 { //插入 public static final ...
- 2018-11-08 10:20回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
- 2020-12-28 11:46回答 1 已采纳 这么写自然会按照人家的格式进行变量替换啊,string类型的必然给你加单引啊。直接拼到 sqlQueryBy里不就完事了。如果不能这么干,了解下框架写法,看看有没有不自动类型匹配的,比如像mybati
- 2020-04-16 17:12回答 2 已采纳 建议就不要用?了,直接拼字符串。一般?用在where条件的,而且直接“selecct * from websites where id=?”,不用拼接的。 如果多个筛选值建议先StringBuild
- 2022-11-07 20:10金士曼的博客 PreparedStatement批量插入数据
- 2017-06-01 05:14回答 5 已采纳 使用 ResultSet 类的last() 方法可以定位到最后一行: rs.last(); PreparedStatement 是通过sql 对数据库进行操作. sql 一般是通过倒序取
- 2021-12-30 11:18数据与后端架构提升之路的博客 PrepareStatement和Statement的对比
- 2019-01-23 09:55程序员潇然的博客 执行对象Statement、PreparedStatement和CallableStatement详解 JDBC简介(五) 执行对象是SQL的执行者,SQL是“安排好的任务”,执行对象就是“实际工作的人”。 执行对象有三种: Statement、...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 安装svn网络有问题怎么办
- ¥15 Python爬取指定微博话题下的内容,保存为txt
- ¥15 vue2登录调用后端接口如何实现
- ¥65 永磁型步进电机PID算法
- ¥15 sqlite 附加(attach database)加密数据库时,返回26是什么原因呢?
- ¥88 找成都本地经验丰富懂小程序开发的技术大咖
- ¥15 如何处理复杂数据表格的除法运算
- ¥15 如何用stc8h1k08的片子做485数据透传的功能?(关键词-串口)
- ¥15 有兄弟姐妹会用word插图功能制作类似citespace的图片吗?
- ¥15 latex怎么处理论文引理引用参考文献