使用Statement是不安全的容易引起SQL注入问题, 因为Statement执行的是静态的SQL语句(String sql=”select * from user where username=’”+username+”’ and password=’”+password+”’”)Username和password都等于1’ or ‘1’=’1这样任何情况下都是正确的) 方法一:对参数进行检测 方法二:使用PreparedStatement对象,在构造SQL语句的书后使用预编译的方法 String SQL=”select * from user where username=? and password=? ”; 这样他就会将其中的可以字符作为一个字符串整体来考虑,而不会和SQL语句连接起来作为一个SQL语句组合
"select * from a where a.name = '"+name+"'"; //不推荐
"select * from a where a.name = ?" //推荐
这样做的好处(也就是 PreparedStatement 较之于 Statement 的优势):1,采用 PreparedStatement 占位符 ? 的方式,可以有效地防止 SQL 注入攻击;
2,采用占位符形式,在代码上有良好的可读性,特别是在字符串条件比较多的时候,如果采用拼接 SQL 法,
单引号会让人晕掉;
3,采用占位符的形式,由于是数据库先将 SQL 编译之后,再设置值的,这样可以让数据库对 SQL 进行缓存,
以提高 SQL 执行的效率。采用拼接法,由于每次执行的条件值不一样,这样数据库每次都得去编译 SQL,
数据库没有办法对 SQL 进行缓存处理。
因为Statement执行的是静态的SQL语句(String sql=”select * from user where username=’”+username+”’ and password=’”+password+”’”)Username和password都等于1’ or ‘1’=’1这样任何情况下都是正确的)
方法一:对参数进行检测
方法二:使用PreparedStatement对象,在构造SQL语句的书后使用预编译的方法
String SQL=”select * from user where username=? and password=? ”;
这样他就会将其中的可以字符作为一个字符串整体来考虑,而不会和SQL语句连接起来作为一个SQL语句组合
用过滤器过滤非法字符