用PreparedStatement是否就可以防止SQL注入了
1个回答
展开全部
是的,注入漏洞是由于在参数值改变了sql的执行逻辑,例如
//username正常情况下应该是一个用户名只包含数字或者英文字母,
//但是当用户填写的是下面的串的时候,注入漏洞就发生了
String username=" a' or 1=1 ";
String pssword="xxx";
String sql="select * from users where password='"+password+"' and user_name = ' "+username;
此时不管密码的什么都能查询到数据。相当于绕过验证了。
PreparedStatement的参数注入功能会把参数里的特殊字符进入转义,单引号这样的是会被转义的,所以sql的逻辑不会因为参数值发生改变,注入漏洞就不可能发生了
//username正常情况下应该是一个用户名只包含数字或者英文字母,
//但是当用户填写的是下面的串的时候,注入漏洞就发生了
String username=" a' or 1=1 ";
String pssword="xxx";
String sql="select * from users where password='"+password+"' and user_name = ' "+username;
此时不管密码的什么都能查询到数据。相当于绕过验证了。
PreparedStatement的参数注入功能会把参数里的特殊字符进入转义,单引号这样的是会被转义的,所以sql的逻辑不会因为参数值发生改变,注入漏洞就不可能发生了
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
