一上,为什么说Mysql预处理可以防止SQL注入
1个回答
展开全部
简单点理解:prepareStatement会形成参数化的查询,例如:
1
select * from A where tablename.id = ?
传入参数'1;select * from B'如果不经过prepareStatement,会形成下面语句:
1
select * from A where tablename.id = 1;select * from B
这样等于两次执行,但如果经过预处理,会是这样:
1
select * from A where tablename.id = '1;select * from B'
'1;select * from B'只是一个参数,不会改变原来的语法
1
select * from A where tablename.id = ?
传入参数'1;select * from B'如果不经过prepareStatement,会形成下面语句:
1
select * from A where tablename.id = 1;select * from B
这样等于两次执行,但如果经过预处理,会是这样:
1
select * from A where tablename.id = '1;select * from B'
'1;select * from B'只是一个参数,不会改变原来的语法
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
