用法就是如下边所示:
1
2
3
4
5
6
7
8
9
10
11
String sql="update cz_zj_directpayment dp"+
"set dp.projectid = ? where dp.payid= ?";
try {
PreparedStatement pset_f = conn.prepareStatement(sql);
pset_f.setString(1,inds[j]);
pset_f.setString(2,id);
pset_f.executeUpdate(sql_update);
}catch(Exception e){
//e.printStackTrace();
logger.error(e.message());
}
那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!
以上就是预编译为什么可以防止sql注入 的详细内容,更多文章请关注木庄网络博客 !
相关阅读 >>
确定sql注入死透了么?
什么是sql注入?带你从零开始认识sql注入
什么是sql注入漏洞
sql注入一般可通过网页表单直接输入么
sql注入的三种方式是什么
预编译 为什么可以防止sql注入
mysql如何防止sql注入
什么是sql注入、xss和csrf?
了解sql注入及如何解决
mysql怎样防止sql注入问题
更多相关阅读请进入《预编译 》频道 >>
¥41.1元
本书主要讲述了数据模型、基于对象的数据库和XML、数据存储和查询、事务管理、体系结构等方面的内容。
转载请注明出处:木庄网络博客 » 预编译为什么可以防止sql注入
