SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
prepareStatement方法是防止sql注入的简单有效手段
preparedStatement和statement的区别
1、preparedStatement是statement的子方法
2、preparedStatement可以防止sql注入的问题
3、preparedStatement它可以对它所代表的sql语句进行预编译,以减轻服务器压力
实例如下
www.yzyedu.com
public User find(String username, String password)
{
Connection conn = null;
PreparedStatement st =
null;
ResultSet rs = null;
try{
conn =
JdbcUtils.getConnection();
String sql = "select * from users where
username=? and password=?";
st =
conn.prepareStatement(sql);
st.setString(1,
username);
st.setString(2, password);
rs = st.executeQuery();
//
if(rs.next()){
User user = new
User();
user.setId(rs.getString("id"));
user.setUsername(rs.getString("username"));
user.setPassword(rs.getString("password"));
user.setEmail(rs.getString("email"));
user.setBirthday(rs.getDate("birthday"));
return
user;
}
return null;
}catch (Exception e)
{
throw new
DaoException(e);
}finally{
JdbcUtils.release(conn, st,
rs);
} www.jx-jf.com
}
相关文章
- 11-10防止sql注入之美
- 11-10模糊查询防止sql注入
- 11-10TP5 框架 防止 sql注入 + xss攻击 + session盗窃
- 11-10Web攻击(xss与sql注入)靶场复现
- 11-10springboot项目防止sql注入
- 11-10防止sql注入,过滤敏感关键字
- 11-10防止sql注入 参数化解决方案
- 11-10jdbc防止sql注入-PreparedStatement
- 11-10如何防止sql注入
- 11-10SQL注入攻击与防范