statement和preparedStatement的优缺点各是什么?
1个回答
展开全部
PreparedStatement可重复使用,提高效率;另外还可防止注入攻击,例如用户登录的时候查询SQL拼装语句为:
String sql = "select * from tb_user where name = '" + username + "' and passwd = '" + password + "'";
假如程序中没有进行必要的输入合法性检测,别有用心的人在用户名栏输入:abc' or '1'='1,在密码栏输入:123,则拼装后的SQL语句为:select * from tb_user where name = 'abc' or '1'='1' and passwd = '123',则此语句永远都能正确执行,从而实现注入方式攻击。如果使用PreparedStatement,则会将输入的内容全部解析为字符串,而不会出现此漏洞。
String sql = "select * from tb_user where name = ? and passwd = ?";
String sql = "select * from tb_user where name = '" + username + "' and passwd = '" + password + "'";
假如程序中没有进行必要的输入合法性检测,别有用心的人在用户名栏输入:abc' or '1'='1,在密码栏输入:123,则拼装后的SQL语句为:select * from tb_user where name = 'abc' or '1'='1' and passwd = '123',则此语句永远都能正确执行,从而实现注入方式攻击。如果使用PreparedStatement,则会将输入的内容全部解析为字符串,而不会出现此漏洞。
String sql = "select * from tb_user where name = ? and passwd = ?";
本回答被提问者和网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
