3条回答 默认 最新
- 专业些bug中 2022-07-02 09:06关注
采⽤sql语句预编译和绑定变量
采⽤了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先
进⾏语法分析,产⽣语法树,⽣成执⾏计划,也就是说,后⾯你输⼊的参数,⽆论你输⼊的是什么,都不会影响该sql语句的语法结构了,
因为语法分析已经完成了,⽽语法分析主要是分析sql命令,⽐如 select ,from ,where ,and, or ,order by 等等。所以即使你后⾯输⼊了这
些sql命令,也不会被当成sql命令来执⾏了,因为这些sql命令的执⾏, 必须先的通过语法分析,⽣成执⾏计划,既然语法分析已经完成,
已经预编译过了,那么后⾯输⼊的参数,是绝对不可能作为sql命令来执⾏的,只会被当做字符串字⾯值参数。所以sql语句预编译可以防御
sql注⼊。本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏 举报 编辑记录
悬赏问题
- ¥15 对于squad数据集的基于bert模型的微调
- ¥15 为什么我运行这个网络会出现以下报错?CRNN神经网络
- ¥20 steam下载游戏占用内存
- ¥15 CST保存项目时失败
- ¥15 树莓派5怎么用camera module 3啊
- ¥20 java在应用程序里获取不到扬声器设备
- ¥15 echarts动画效果的问题,请帮我添加一个动画。不要机器人回答。
- ¥15 Attention is all you need 的代码运行
- ¥15 一个服务器已经有一个系统了如果用usb再装一个系统,原来的系统会被覆盖掉吗
- ¥15 使用esm_msa1_t12_100M_UR50S蛋白质语言模型进行零样本预测时,终端显示出了sequence handled的进度条,但是并不出结果就自动终止回到命令提示行了是怎么回事: