SQL攻击

早期项目中普遍存在SQL攻击，在需要输入查询条件的地方输入了 sql片段 导致了整体执行的SQL语句发 生了变化，进而影响了查询的功能； 为了解决SQL攻击问题，提出了preparedStatement对象；

使用preparedStatement 预处理模板对象：

1.导入mysql-java连接jar包，并加载jar包；

2.加载MySQL的驱动类；Driver

3.通过DriverManager创建java-mysql之间的连接对象Connection对象；url地址、数据库用 户名、数据库密码

4.取preparedStatement对象, 预编译对象 需要使用sql模板语句 将sql语句中的不确定内 容,使用? 进行替换 // 其中 ? --> 表示一个字符串 ,在进行sql补全的时,会将?换成一个整体的被""括起来 的字符串 String sql = "select count(*) from user where u_username = ? and u_password = ?" ; // 使用sql模板创建一个 sql预编译对象 preparedStatement = connection.prepareStatement(sql);

5.将预编译对象中的 不完整内容进行补全; zs 123 preparedStatement.setString(1,user); preparedStatement.setString(2,password);

6.执行完整sql语句 此时完整的SQL语句,已经prepared Statement保存了,所以不需要再另外 添加sql语句参数 resultSet = preparedStatement.executeQuery();

7.对结果集对象进行处理 while(resuletSet.next()){ resultSet.getString(列数) }

8.关闭资源，从下往上，先创建后关闭，后创建的先关闭；