mysql 解决sql注入
sql注入:
web应用程序对用户输入数据的合法性没有判断或者过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾添加额外的sql语句,在管理员不知情的情况下进行非法操作,以此实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
java解决的方法:
- 使用prepareStatement
package com.sql;
import java.sql.*;
/**
* @author panglili
* @create 2022-07-18-9:57
*/
public class demo2 {
public static void main(String[] args) throws Exception {
//1.加载驱动
Class.forName("com.mysql.cj.jdbc.Driver");
//2.用户信息和url
String url="jdbc:mysql://localhost:3306/shop?useUnicode=true&characterEncoding=utf-8&userSSL=false";
String name="root";
String pwd="123123";
//3.连接成功
Connection connection = DriverManager.getConnection(url, name, pwd);
//4.预编译sql先不赋值
String sql="delete from account where id=?";
PreparedStatement st = connection.prepareStatement(sql);
//5.手动给参数赋值
st.setInt(1,2);
//6.执行 删除语句会返回受影响的行数
int i = st.executeUpdate();
if(i>0){
System.out.println(i+"行删除成功");
}
//7.释放连接
st.close();
connection.close();
}
}
prepareStatement防止sql注入的本质就是,把传递进来的参数当做字符,如果存在转义字符会被直接转义!
分类:
mysql阶段巩固
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· 【自荐】一款简洁、开源的在线白板工具 Drawnix