预准备语句是否避免了 SQL 注入?
2022-09-01 03:06:27
我已经阅读并尝试将易受攻击的sql查询注入到我的应用程序中。它不够安全。我只是使用语句连接进行数据库验证和其他插入操作。
准备好的结单安全吗?此外,这种说法也会有问题吗?
答案 1
使用字符串串联从任意输入构造查询将不安全。请看这个例子:PreparedStatement
preparedStatement = "SELECT * FROM users WHERE name = '" + userName + "';";
如果有人把
' or '1'='1
作为 ,您将容易受到SQL注入的攻击,因为该查询将在数据库上执行userNamePreparedStatement
SELECT * FROM users WHERE name = '' OR '1'='1';
因此,如果您使用
preparedStatement = "SELECT * FROM users WHERE name = ?";
preparedStatement.setString(1, userName);
你会很安全。
其中一些代码取自这篇维基百科文章。
答案 2
如果使用得当,预准备语句可以防止 SQL 注入。但是,请为您的问题发布一个代码示例,以便我们了解您是否正确使用它。
推荐
-
如何使用Java中的RESTful Web服务获取远程/客户端IP地址? 我已经在我的项目中编写了Rest Web服务。Web服务调用可能来自不同 machine.so 我需要通过REST Web服务找出IP地址。 从这个请求.getRemoteAddr()使用这个。 但是我不能使用getRemoteAddr()。因为我的请
-
从包含大量文件的zip文件中提取1文件的最快方法是什么? 我尝试了但它们也缺少一些东西。 LZMA SDK不提供一种如何使用的文档/教程,这非常令人沮丧。没有 javadoc。 虽然7z jbinding没有提供一种简单的方法来只提取1个文件,但是,它只提供了提取zip文件
-
输入/输出流在销毁时是否关闭? Java 中的 InputStreams 和 OutputStreams 是否在销毁时关闭()?我完全理解这可能是不好的形式(特别是在C和C++世界中),但我很好奇。 另外,假设我有以下代码: 无名的FileInputStream是否在p.load
-
Java 程序中的字符串大小是否有任何限制? 我有一个字符串定义为 字符串 xx 我可以分配的字符数是否有任何限制? 2) 我正在将用户输入分配给此字符串 xx。70%的人只说一个字。有时他们给出一个大句子,所以想知道可
-
标签
推荐