當用
name
作為引數時
, 如果名字裡面含有
or 等帶有歧義的情況時,
或導致錯誤。比如
string name = "or 1 or "
將導致全部的記錄都會被輸出。這種錯誤叫做
sql注入。我們需要將過濾的工作交給資料庫來處理。即
preparedstatement ps.
例子如下:
preparedstatement ps = null;
string sql = "select id, name from user where name=?";
ps = conn.preparestatement(sql);
ps.setstring(1,name);
rs = ps.executequery();
2.preparedstatement 除了具有上面過濾處理的優點,後具有效率的優點。
JDBC SQL注入
sql注入,preparedstatement和statement 在sql中包含特殊字元或sql的關鍵字 如 or 1 or 時statement將出現不可預料的結果 出現異常或查詢的結果不正確 可用preparedstatement來解決。preperedstatement 從statement...
JDBC Sql注入問題和事務控制
6.sql注入問題 1.說明 使用者可以給程式傳入一些sql的片段來達到破壞sql語句的功能 2.解決方式 使用preparedstatement 7.preparedstatement 1.與statement的比較 1.是statement的子介面,可以解決sql注入問題 2.是預先編譯的sql...
JDBC SQL注入 戀天小結
所謂sql注入,就是通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。具體來說,它是利用現有應用程式,將 惡意的 sql命令注入到後台資料 庫引擎執行的能力,它可以通過在web表單中輸入 惡意 sql語句得到乙個存在安全漏洞的 上的資料庫...