为什要使用预编译SQL?(转)
本文转自https://www.cnblogs.com/zouqin/p/5314827.html
今天在研发部技术大牛的指点下,我终于明白了为什么要使用SQL预编译的形式执行数据库JDBC:
然而总所周知,这种方式极有可能发生SQL注入攻击,那么什么是SQL注入攻击呢?
如上图,我们想删除一条id = ' sk001 ' 的数据。这是理想情况下,但是如果用户恶意进行SQL注入攻击的话,比如这样
如果用户像以上者中情况注入SQL的话,相应的对我们的数据库将产生极大的漏洞和极大的安全问题,那么为什么我说预编译可以防范SQL注入攻击呢?
这种方式能防范SQL注入的原理是在SQL参数未注入之前,提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。也就是说其后注入进来的参数系统将不会认为它会是一条SQL语句,而默认其是一条一个参数。
所以回答标题的问题,为什么要使用SQL预编译来执行数据库JDBC?
就是防范SQL注入攻击~
以上属于个人见解,不足之处请多多指教
3.order by修复建议
select * from userorder by #{name} desc /*有问题sql*/
因为预编译机制只能处理查询参数,此处显然不是查询参数,需要开发人员自己处理。所以只能这样拼接:
select * from userorder by ${name} desc
3.order by修复建议
select * from userorder by #{name} desc /*有问题sql*/
因为预编译机制只能处理查询参数,此处显然不是查询参数,需要开发人员自己处理。所以只能这样拼接:
select * from userorder by ${name} desc