用java PreparedStatement就不用担心sql注入了吗
2个回答
展开全部
是的。
什么叫sql注入:
比如:最简单的登录验证sql(这里不考虑密码加密)。
程序猿写的sql模版:
select count(*) FROM member WHERE name=“用户给的用户名”and password=“用户给的密码”
情景设定1:用户输入的用户名是:aaaa 密码:111
select count(*) FROM member WHERE name=aaaa and password=111
看起来好像是没问题,但是:
情景设定2:用户输入的用户名是:aaaa 密码:111 or 1=1
select count(*) FROM member WHERE name=aaaa and password=111 or 1=1
好了,这个sql出来,只要知道你的用户名。100%登上你的号。
sql注入的注入口在哪:
我们看到,上面的sql不论青红皂白就把用户传的数据拼进了sql,从而影响了原有了逻辑设定。
PreparedStatement正式堵住了这个注入口:
PreparedStatement,带有预编译。会在执行之前先编译你的sql模版,编译之后,用户所传的信息都会被认为是普通的参数,什么意思?就是说你即时写了 “111 and 1=1”。数据库也只会把这个参数认为是一个字符。and此时并不是sql的关键字。
看完上面的应该就懂了。
2017-08-22
展开全部
NO,
如果你的SQL是拼接的也是有点危险
如果你的SQL是拼接的也是有点危险
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询