Highrichshuai 2019-05-14 15:21 采纳率: 75%
浏览 1828
已采纳

jdbc防止sql注入是用预编译+字段拼接也行还是必须要预编译加?占位符?

private int chackId(String tableName,String idName,int step){
int returnId = 0;
DBHelper dbHelper = null;
ResultSet ret = null;

    String sql = "select Max(" + idName + ") from "
            + tableName;
    dbHelper = SqlMove.dbHelper;// 创建DBHelper对象
    try {
        ret = dbHelper.conn.prepareStatement(sql).executeQuery();
        while (ret.next()) {
            returnId =  ret.getInt(1)+step;
        }
    } catch (SQLException e) {
        e.printStackTrace();
    } 
    return returnId;
}
这个是不是就用了预编译加字段拼接?还可以防止注入吗
  • 写回答

2条回答 默认 最新

  • wangml010 2019-05-14 16:39
    关注

    使用预编译加占位符‘?’才能防止SQL注入,你这样拼接不会防止sql注入,
    说个用户登录的场景,我后台的查询语句是 

    String username = paramName;
String password = paramPwd;
String sql = "select * from user where username="+paramName+" and password = "+paramPwd;

    如果前台用户输入的username是_**wangml010**_,password输入的是 "1" or 1=1,如果我是拼接字符串,那么我的查询语句就成了这样

    select * from user where username="wangml010" and password = "1" or 1=1

    试想一下是不是很危险,稍微懂点技术的人就会随意登录你的系统。
    相反占位符就不会出现这个问题,它会把传过来的参数进行转义,具体的转义方法可以看看源代码

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

悬赏问题

  • ¥15 关于#hadoop#的问题
  • ¥15 (标签-Python|关键词-socket)
  • ¥15 keil里为什么main.c定义的函数在it.c调用不了
  • ¥50 切换TabTip键盘的输入法
  • ¥15 可否在不同线程中调用封装数据库操作的类
  • ¥15 微带串馈天线阵列每个阵元宽度计算
  • ¥15 keil的map文件中Image component sizes各项意思
  • ¥20 求个正点原子stm32f407开发版的贪吃蛇游戏
  • ¥15 划分vlan后,链路不通了?
  • ¥20 求各位懂行的人,注册表能不能看到usb使用得具体信息,干了什么,传输了什么数据