weixin_43778463 2022-07-02 07:57 采纳率: 70.4%
浏览 41
已结题

java系统中的sql注入怎么做一个防御和修复?

问题遇到的现象和发生背景
问题相关代码,请勿粘贴截图
运行结果及报错内容
我的解答思路和尝试过的方法
我想要达到的结果
  • 写回答

3条回答 默认 最新

  • 专业些bug中 2022-07-02 09:06
    关注

    采⽤sql语句预编译和绑定变量
    采⽤了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先
    进⾏语法分析,产⽣语法树,⽣成执⾏计划,也就是说,后⾯你输⼊的参数,⽆论你输⼊的是什么,都不会影响该sql语句的语法结构了,
    因为语法分析已经完成了,⽽语法分析主要是分析sql命令,⽐如 select ,from ,where ,and, or ,order by 等等。所以即使你后⾯输⼊了这
    些sql命令,也不会被当成sql命令来执⾏了,因为这些sql命令的执⾏, 必须先的通过语法分析,⽣成执⾏计划,既然语法分析已经完成,
    已经预编译过了,那么后⾯输⼊的参数,是绝对不可能作为sql命令来执⾏的,只会被当做字符串字⾯值参数。所以sql语句预编译可以防御
    sql注⼊。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论 编辑记录
查看更多回答(2条)

报告相同问题?

问题事件

  • 系统已结题 7月11日
  • 已采纳回答 7月3日
  • 创建了问题 7月2日

悬赏问题

  • ¥15 对于squad数据集的基于bert模型的微调
  • ¥15 为什么我运行这个网络会出现以下报错?CRNN神经网络
  • ¥20 steam下载游戏占用内存
  • ¥15 CST保存项目时失败
  • ¥15 树莓派5怎么用camera module 3啊
  • ¥20 java在应用程序里获取不到扬声器设备
  • ¥15 echarts动画效果的问题,请帮我添加一个动画。不要机器人回答。
  • ¥15 Attention is all you need 的代码运行
  • ¥15 一个服务器已经有一个系统了如果用usb再装一个系统,原来的系统会被覆盖掉吗
  • ¥15 使用esm_msa1_t12_100M_UR50S蛋白质语言模型进行零样本预测时,终端显示出了sequence handled的进度条,但是并不出结果就自动终止回到命令提示行了是怎么回事: