jdbc防止sql注入是用预编译+字段拼接也行还是必须要预编译加?占位符？

private int chackId(String tableName,String idName,int step){
int returnId = 0;
DBHelper dbHelper = null;
ResultSet ret = null;

    String sql = "select Max(" + idName + ") from "
            + tableName;
    dbHelper = SqlMove.dbHelper;// 创建DBHelper对象
    try {
        ret = dbHelper.conn.prepareStatement(sql).executeQuery();
        while (ret.next()) {
            returnId =  ret.getInt(1)+step;
        }
    } catch (SQLException e) {
        e.printStackTrace();
    } 
    return returnId;
}
这个是不是就用了预编译加字段拼接？还可以防止注入吗

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
wangml010 2019-05-14 16:39
关注
使用预编译加占位符‘？’才能防止SQL注入，你这样拼接不会防止sql注入，
说个用户登录的场景，我后台的查询语句是

String username = paramName; String password = paramPwd; String sql = "select * from user where username="+paramName+" and password = "+paramPwd;

如果前台用户输入的username是_**wangml010**_，password输入的是 "1" or 1=1，如果我是拼接字符串，那么我的查询语句就成了这样

select * from user where username="wangml010" and password = "1" or 1=1

试想一下是不是很危险，稍微懂点技术的人就会随意登录你的系统。
相反占位符就不会出现这个问题，它会把传过来的参数进行转义，具体的转义方法可以看看源代码
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

报告相同问题？

关注问题

jdbc防止sql注入是用预编译+字段拼接也行还是必须要预编译加?占位符？

2条回答 默认 最新

2条回答默认最新