UC知道关于jdbc中设置SQL语句的问题
来源:百度知道 编辑:UC知道 时间:2024/06/18 07:18:05
现截取代码一部分,望多指教
public void findByName(String name){
System.out.println("findByName()...");
Connection con = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try{
con = JdbcUtil.getCon();
String sql = "select * from tb_wsd0803 where name=?";
pstmt = con.prepareStatement(sql);
pstmt.setString(1, name);
rs = pstmt.executeQuery();
System.out.println("id\tname");
while(rs.next()){
int id = rs.getInt(1);
String nameGet = rs.getString(2);
System.out.println(id+"\t" + nameGet);
}
现有方法如上
public static void main(String[] args) {
Lab2_PreparedStatement lab2 = new Lab2_PreparedStatement();
lab2.findByName("a' or 'a' = 'a' or 'w'='wsd080304");
}
在main方法中调用类Lab2_PreparedStatement 的方法findByName(Striang name)
本人不明白的地方有两个:
public void findByName(String name){
System.out.println("findByName()...");
Connection con = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try{
con = JdbcUtil.getCon();
String sql = "select * from tb_wsd0803 where name=?";
pstmt = con.prepareStatement(sql);
pstmt.setString(1, name);
rs = pstmt.executeQuery();
System.out.println("id\tname");
while(rs.next()){
int id = rs.getInt(1);
String nameGet = rs.getString(2);
System.out.println(id+"\t" + nameGet);
}
现有方法如上
public static void main(String[] args) {
Lab2_PreparedStatement lab2 = new Lab2_PreparedStatement();
lab2.findByName("a' or 'a' = 'a' or 'w'='wsd080304");
}
在main方法中调用类Lab2_PreparedStatement 的方法findByName(Striang name)
本人不明白的地方有两个:
这是因为以前用Statement对象查询数据的系统容易被人SQL注入攻击。
简单的一个例子:登陆.
从登陆框中传过来两个参数.
正常情况下、假设是 aa bb
select * from tbl_user where uname='aa' and upass='bb'
然后有些会sql的人就想到了在参数后面加些其他的东西
比如在bb' or 'a'='a 或者 ;DELETE FROM tbl_user WHERE 1>0之类的
这样SQL语句就变成:
select * from tbl_user where uname='aa' and upass='bb' or 'a' = 'a'
这样的语句是不安全的。
后来就出现PreparedStatement 对象的?占位符,通过给? 设值,可以把传过来的参数当成普通的字符串,包括单引号。这样就避免了一些灾难。
哪不是加的双引号吗?说具体什么地方不明白,哪行?
其一不太理解哦
其二应该是为防注入的,用到了or 关键字的话。即where子语句有多个or的话,只有where后的第一个or为true。即 name=a 。那么编译器会自动不会去继续执行以下的or条件。就这个意思吧。仅供参考的哦