PreparedStatement 防止 SQL 注入原理

前言

  PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。

原理

使用如下代码模拟 SQL 注入

PreparedStatement 防止 SQL 注入原理_第1张图片
在这里插入图片描述
在这里插入图片描述

总结

  由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。
  PreparedStatement 可以有效防止 SQL 注入,你应该始终以 PreparedStatement 代替 Statement,也就是说,在任何时候都不要使用 Statement。

你可能感兴趣的:(MySQL,MySQL,JDBC,SQL注入)