标签：PreparedStatement SQL param 问题 参数 sql 注入

SQL注入问题 （SQL Injection）

1，jdbc使用PreparedStatement，PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理

2，检查是否有违法字符串

3，mybatis采用#，尽量少用$，${param} 和 #{param} 两个不同的占位符来作为示例解释 Statement 和 PreparedStatement (mybatis和jdbc的低层原理是一样的)

4，永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

那么为什么PreparedStatement可以防止sql注入呢？原理是什么？

当我们使用PreparedStatement进行传参时，若传入参数为：张三’ or 1 = ‘1 时，经过程序后台进行转义后，真正的sql其实变成了： select * from user where name = ‘张三\’ or 1 = \’1’；显然这样查询出来的结果一定为空。

总结：PreparedStatement不是将参数简单拼凑成sql，而是做了一些预处理，将参数转换为string，两端加单引号，将参数内的一些特殊字符（换行，单双引号，斜杠等）做转义处理，这样就很大限度的避免了sql注入。

标签：PreparedStatement,SQL,param,问题,参数,sql,注入
来源： https://blog.csdn.net/zzdurkjava/article/details/90054815

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。