jdbc防止sql注入是用预编译+字段拼接也行还是必须要预编译加?占位符？

private int chackId(String tableName,String idName,int step){
int returnId = 0;
DBHelper dbHelper = null;
ResultSet ret = null;

    String sql = "select Max(" + idName + ") from "
            + tableName;
    dbHelper = SqlMove.dbHelper;// 创建DBHelper对象
    try {
        ret = dbHelper.conn.prepareStatement(sql).executeQuery();
        while (ret.next()) {
            returnId =  ret.getInt(1)+step;
        }
    } catch (SQLException e) {
        e.printStackTrace();
    } 
    return returnId;
}
这个是不是就用了预编译加字段拼接？还可以防止注入吗

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
wangml010 2019-05-14 16:39
关注
使用预编译加占位符‘？’才能防止SQL注入，你这样拼接不会防止sql注入，
说个用户登录的场景，我后台的查询语句是

String username = paramName; String password = paramPwd; String sql = "select * from user where username="+paramName+" and password = "+paramPwd;

如果前台用户输入的username是_**wangml010**_，password输入的是 "1" or 1=1，如果我是拼接字符串，那么我的查询语句就成了这样

select * from user where username="wangml010" and password = "1" or 1=1

试想一下是不是很危险，稍微懂点技术的人就会随意登录你的系统。
相反占位符就不会出现这个问题，它会把传过来的参数进行转义，具体的转义方法可以看看源代码
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

报告相同问题？

关注问题

jdbc防止sql注入是用预编译+字段拼接也行还是必须要预编译加?占位符？ java
2019-05-14 15:21

回答 2 已采纳使用预编译加占位符‘？’才能防止SQL注入，你这样拼接不会防止sql注入，说个用户登录的场景，我后台的查询语句是 ```java String username = paramName;
JDBC使用预编译执行DQL语句输出都是占位符内容，这是为什么呢？ java sql
2022-04-15 12:19

回答 1 已采纳占位预编译成字符串了同等 select 'name'
关于JDBC 使用 PreparedStatement。用“？占位符出现的sql语法报错的问题，如何解决？ java sql 数据库
2022-08-10 17:21

回答 1 已采纳所以说，你的报错是啥？
java安全(二):JDBC|sql注入|预编译
2021-11-14 10:40

b1gpig安全的博客 Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC)，不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java...
JDBC预编译SQL语句正常，但是结果集为空的问题 java java-ee
2022-12-16 09:29

回答 3 已采纳 1.直接在数据库执行没数据的sql，看是否有数据2.如果数据库查询有数据，说明数据查到后，在代码里进行赋值时有问题3.大概率是传参导致的sql查不到数据
jsp使用jdbc中的toString方法为什么返回的是字段？ java sql 数据库
2021-11-17 22:44

回答 2 已采纳 String sql1 = "select 'user_name','user_password' from user";你这个sql又没有查数据，你只是查两个字符串，即使你把 user表换成任何表都
sharding-jdbc，mybatis，查询一个json字段的数据，但是奇怪的是报String不能转成clob？ java 后端数据库
2022-05-11 10:05

回答 1 已采纳 mybatis的类型转换一般是BaseTypeHandler的子类，自己去debug吧，如果只是string类型，自己指定对应的typeHandle
JDBC | 第三章: SQL预编译与防注入CRUD操作
2022-02-14 22:22

独酌先生QAQ的博客 SQL预编译与防注入CRUD操作
jdbc问题，关于实现用户登录，预编译 java
2023-03-12 14:11

回答 3 已采纳 mysql的版本存在不兼容的一个情况，检查下。
jdbc java 字段类型 java 数据库
2022-07-12 14:04

回答 2 已采纳别说在java中这样写可以你就是直接拼接一个sql，这样写insert into dept values('1','name','loc')也是没问题的到了数据库中，只要这个字符串能够转成int，就会
gp跨库查询，Java使用jdbc的next()方法报错，如何解决？ java sql 数据库
2023-01-04 17:50

回答 7 已采纳应该是greenplum驱动的问题，其实greenplum和postgres基本一样，试试使用postgres驱动
jdbc mysql预编译测试类_JDBC【4】-- jdbc预编译与拼接sql对比
2021-02-06 22:09

X楚辞的博客在jdbc中，有三种方式执行sql，分别是使用Statement(sql拼接)，PreparedStatement(预编译)，还有一种CallableStatement(存储过程)，在这里我就不介绍CallableStatement了，我们来看看Statement与PreparedStatement的...
JAVA,JDBC中使用PrepareStatement进行查询，如何去除setString时自动添加的引号？ java
2020-04-16 17:12

回答 2 已采纳建议就不要用?了，直接拼字符串。一般？用在where条件的，而且直接“selecct * from websites where id=?”,不用拼接的。如果多个筛选值建议先StringBuild
预编译为什么能防止SQL注入？一看你就明白了。预编译原理详解
2023-09-16 17:58

士别三日wyx的博客 预编译可以将SQL语句模板化，值的位置用占位符替代，这样数据库就会事先编译好SQL语法结构，等真正调用的时候，再传入值执行，省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建，就改不了SQL的语法结构...
jdbc预编译与拼接sql对比
2018-05-26 22:16

秦怀的博客在jdbc中，有三种方式执行sql，分别是使用Statement（sql拼接），PreparedStatement（预编译），还有一种CallableStatement（存储过程），在这里我就不介绍CallableStatement了，我们来看看Statement与...
没有解决我的问题, 去提问

悬赏问题

¥30 这是哪个作者做的宝宝起名网站
¥60 版本过低apk如何修改可以兼容新的安卓系统
¥25 由IPR导致的DRIVER_POWER_STATE_FAILURE蓝屏
¥50 有数据，怎么建立模型求影响全要素生产率的因素
¥50 有数据，怎么用matlab求全要素生产率
¥15 TI的insta-spin例程
¥15 完成下列问题完成下列问题
¥15 C#算法问题, 不知道怎么处理这个数据的转换
¥15 YoloV5 第三方库的版本对照问题
¥15 请完成下列相关问题！