81,092
社区成员
发帖
与我相关
我的任务
分享请问JDBC的DAO传SQL语句时为什么要用问号赋值的方法,而不是字符串拼接?
今天写练习用的购物车项目时发现字符串直接拼接可以节省一些代码,而且感觉更方便→_→。
...全文
请发表友善的回复…
发表回复
guishuanglin 2019-07-10
- 打赏
- 举报
楼上正解, 用?问号是安全第一.....安全第一...安全第一...
Monday_@@ 2019-07-10
- 打赏
- 举报
防止SQL注入问题啊 你可以百度一下SQL注入的问题。
雾里看花の 2019-07-10
- 打赏
- 举报
直接拼接出现sql注入的问题,例如登录的时候,你这样写
如果有心的用户这样输入用户名和密码:
username:admin
password:1234' or '1'='1
然后你的语句就会变成:
这样直接不用密码就可以登录admin用户了,这是很危险的
String sql = "select * from user where username='"+username+"' and password='"+password+"'";
如果有心的用户这样输入用户名和密码:
username:admin
password:1234' or '1'='1
然后你的语句就会变成:
select * from user where username='admin' and password='1234' or '1'='1'
这样直接不用密码就可以登录admin用户了,这是很危险的
maradona1984 2019-07-10
- 打赏
- 举报
你对节省代码的理解太过于浅显了
星期三 2019-07-09
- 打赏
- 举报
避免SQL注入问题,如果拼接的时候有特殊符号会直接影响整个语句
流泪熊猫头 2019-07-09
- 打赏
- 举报
字符串拼接存在sql注入问题
