程宇寒 2018-11-08 10:20 采纳率: 100%
浏览 1139
已采纳

PreparedStatement防止sql注入的一些疑问?

我们都知道PreparedStatement可以防止sql注入,Statement会有sql注入的危险,却从来没关心过底层原理!数据库产商提供的数据库jar包中有PreparedStatement类。
说说我的理解,请大家指正!
这么一条sql语句: SELECT * FROM employees WHERE salary = ?
salary字段是数字类型的。

如果java中使用PreparedStatement来处理这条sql语句,我现在传入的值是8000 or 1 = 1

那么最终的sql语句为SELECT * FROM employees WHERE salary = '8000 or 1 = 1' (即PreparedStatement底层会在传入的值两边加上'单引号,而salary字段又是数字类型,所以最终这条sql语句估计会报错)
注意:如果填入的值中有'单引号,似乎也没关系,数据库产商的PreparedStatement底层的实现类照样在值的两边加上'单引号,并且会把值中的'单引号转义。
不知道大家怎么看呢?

  • 写回答

1条回答 默认 最新

  • threenewbee 2018-11-08 10:30
    关注

    PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么?
    SELECT * FROM employees WHERE salary = '8000' or '1' = 1'
    8000' or '1' = 1
    这样呢。
    JDBC层面,是可以参数化查询的,而这些参数并非通过sql语句插入,所以PreparedStatement可以杜绝注入

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 已采纳回答 3月21日

悬赏问题

  • ¥15 如何在scanpy上做差异基因和通路富集?
  • ¥20 关于#硬件工程#的问题,请各位专家解答!
  • ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
  • ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
  • ¥30 截图中的mathematics程序转换成matlab
  • ¥15 动力学代码报错,维度不匹配
  • ¥15 Power query添加列问题
  • ¥50 Kubernetes&Fission&Eleasticsearch
  • ¥15 報錯:Person is not mapped,如何解決?
  • ¥15 c++头文件不能识别CDialog