用java PreparedStatement就不用担心sql注入了吗

 我来答
_小小程序猿
2017-08-22 · TA获得超过115个赞
知道小有建树答主
回答量:74
采纳率:100%
帮助的人:17.4万
展开全部

是的。

什么叫sql注入:

比如:最简单的登录验证sql(这里不考虑密码加密)。

程序猿写的sql模版:

select count(*)  FROM member WHERE name=“用户给的用户名”and password=“用户给的密码”


情景设定1:用户输入的用户名是:aaaa 密码:111

select count(*) FROM member WHERE name=aaaa and password=111

看起来好像是没问题,但是:

情景设定2:用户输入的用户名是:aaaa 密码:111 or 1=1


select count(*) FROM member WHERE name=aaaa and password=111 or 1=1

好了,这个sql出来,只要知道你的用户名。100%登上你的号。

sql注入的注入口在哪:

我们看到,上面的sql不论青红皂白就把用户传的数据拼进了sql,从而影响了原有了逻辑设定。


PreparedStatement正式堵住了这个注入口:

PreparedStatement,带有预编译。会在执行之前先编译你的sql模版,编译之后,用户所传的信息都会被认为是普通的参数,什么意思?就是说你即时写了 “111 and 1=1”。数据库也只会把这个参数认为是一个字符。and此时并不是sql的关键字。

看完上面的应该就懂了。

匿名用户
2017-08-22
展开全部
NO,
如果你的SQL是拼接的也是有点危险
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式