当前第2页 返回上一页用法就是如下边所示:1234567891011String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?";try {PreparedStatement pset_f = conn.prepareStatement(sql);pset_f.setString(1,inds[j]);pset_f.setString(2,id);pset_f.executeUpdate(sql_update);}catch(Exception e){//e.printStackTrace();logger.error(e.message());}那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!以上就是预编译为什么可以防止sql注入的详细内容,更多文章请关注木庄网络博客! 返回前面的内容相关阅读 >> 如何防止sql注入攻击? 什么是sql注入漏洞 预编译为什么可以防止sql注入 什么是sql注入、xss和csrf? 什么是sql注入?带你从零开始认识sql注入 如何使用pdo查询mysql避免sql注入的方法 常见sql注入的方法 mysql如何防止sql注入 确定sql注入死透了么? 快速了解sql注入基本原理 更多相关阅读请进入《预编译》频道 >> 书籍 数据库系统概念 第6版 ¥41.1元 机械工业出版社 本书主要讲述了数据模型、基于对象的数据库和XML、数据存储和查询、事务管理、体系结构等方面的内容。 转载请注明出处:木庄网络博客 » 预编译为什么可以防止sql注入
