Sql注入
2022/2/20 2:11:42
本文主要是介绍Sql注入,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
1、什么是sql注入?
比如说,我们通过前端传递参数的时候,如果没有做校验,参数里面包含了一些sql语句,最终拿到数据库中去执行了
2、怎么防止sql注入?
sql注入只会发生在sql编译的过程中,那么避免非法sql被编译,就是我们要做的事情
2.1 在JDBC中使用PreparedStatement:
事先将sql语句传入PreparedStatement中,将要传入的参数用?代替,那么该sql语句就会进行预编译。通过set方式传入编译后的sql语句,那么此时注入的sql语句无法得到编译,从而避免了sql注入。
PreparedStatement preparedStatement = connection.prepareStatement(sql); preparedStatement.setString(1, userName); preparedStatement .setString(2, password);
2.2 mybatis尽量使用#{},而不是${}
#{ }就像是JDBC中的?mybatis通过使用#{ }的方式,代表该语句在执行之前会经过预编译的过程,传入的参数通过占位符的方式填入到已经编译完的语句中。
但使用${ }的参数会直接参与编译,不能避免sql注入
这篇关于Sql注入的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-09-28微服务架构中API版本控制的实践
- 2024-09-28AI给的和自己写的Python代码,都无法改变输入框的内容,替换也不行
- 2024-09-27Sentinel配置限流资料:新手入门教程
- 2024-09-27Sentinel配置限流资料详解
- 2024-09-27Sentinel限流资料:新手入门教程
- 2024-09-26Sentinel限流资料入门详解
- 2024-09-26Springboot框架资料:初学者入门教程
- 2024-09-26Springboot框架资料详解:新手入门教程
- 2024-09-26Springboot企业级开发资料:新手入门指南
- 2024-09-26SpringBoot企业级开发资料新手指南