求教如何使用Prepared Statement防止SQL注入式攻击

asleepyhead 2006-12-19 04:53:32

1.什么是Prepared Statement?和java中的PreparedStatement接口有关系么？
2.如何用它来防止SQL注入？
谢谢

...全文

198 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

jdsnhan 2006-12-20

打赏
举报

回复

参看一下
http://hi.baidu.com/seekjob/blog/item/249db601b1a4a003738da531.html

asleepyhead 2006-12-20

打赏
举报

回复

谢谢jdsnhan(柳荫凉)

wangzk0206 2006-12-19

打赏
举报

回复

I DON'T KNOW

预编译有个类是PreparedStatement. 这个类的对象是通过参数？来传值的例： String sql = "select * from table where id = ?"; Connection con = .....///这里得到是数据库的连接 PreparedStatement ps = con.prepareStatement(sql); ps.setInt(1,id);//

序，目前在对数据库进行操作之前，使用prepareStatement预编译，然后再根据通配符进行数据填值，是比较常见的做法，好处是提高执行效率，而且保证排除SQL注入漏洞。一、prepareStatement的预编译和防止SQL注入功能大家都知道，java中JDBC中，有个预处理功能，这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况，再一个优势就是预防SQL注入，严格的说，应该是预防绝大多数的SQL注入。用法就是如下边所示： String sql="update cz_zj_di

添加数据： package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat

什么是SQL注入 SQL注入是将Web页面的原URL、表单域或数据包输入的参数，修改拼接成SQL语句，传递给Web服务器，最终达到欺骗服务器执行恶意的SQL命令进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库，就可能导致拼接的SQL被执行，获取对数据库的信息以及提权，发生SQL注入攻击。 S...

一、SQL注入 这两者的区别有好几点，比如预编译，防止sql注入是其中最大的一点，这里通过几个例子和简单的解析来探究PreparedStatement是如何防止sql注入的。二、数据库记录如下： id playName playNo team 1 Kobe Brayent 8 laker 2 Lebron James 23 laker 3 Tim Duncan 21 ...

17,089

社区成员

55,237

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章