极客观点
项目管理
HarmonyOS
我知道 PreparedStatements 避免/防止 SQL 注入。它是如何做到的?使用 PreparedStatements 构造的最终表单查询是字符串还是其他形式?
原文由 Prabhu R 发布,翻译遵循 CC BY-SA 4.0 许可协议
java考虑两种做同一件事的方法:
PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();
或者
PreparedStatement stmt = conn.prepareStatement("INSERT INTO student VALUES(?)");
stmt.setString(1, user);
stmt.execute();
如果“用户”来自用户输入并且用户输入是
Robert'); DROP TABLE students; --
然后在第一个实例中,你会被冲洗干净。第二,你会很安全,Little Bobby Tables 会在你的学校注册。
原文由 Paul Tomblin 发布,翻译遵循 CC BY-SA 3.0 许可协议
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
小网站有必要将图片放到阿里云OSS存储吗?
网站有涉及到图片的请求,买了阿里云服务,我想将图片放在云服务上的某个目录下,然后通过nginx代理请求图片资源,不知道这么做是否可行?还是说需要将图片放在OSS上存储,但是OSS需要收费?哪个方案更好一些?15 回答8.4k 阅读
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6.2k 阅读
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4k 阅读✓ 已解决
springboot业务代码能否动态加载和更新?
目前的问题是业务模块会持续增加,每个模块的开发不影响其他任何部分代码,所以我想的是,是否可以jvm启动一个主进程,主进程是一个springboot项目,只是没有各个业务模块的功能。然后各个业务模块可以以插件的形式动态加载和更新。3 回答6k 阅读
Java实例变量默认值赋值时机是什么时候?
实例变量在什么时候会被赋默认值例如int赋0, boolea赋false。 {代码...} 我希望从JVM的角度出发,有相应的证明或者资料证明吗?3 回答2.2k 阅读✓ 已解决
java连redis-sentinel连不上,接下来如何排查?
java连redis-sentinel连不上Java连接redis-sentinel连不上redis-sentinel是在k3s上部署的,使用helm部署的用命令行查看一切正常但是使用java连接报错,详细信息如下环境准备因为java的pod里面是没有redis的,所以下载一个redis-cli,然后拷贝的pod里面,再用命令行连接 {代码...} 安装redis到pod中 {代码...} 直接连接主节点...2 回答3.1k 阅读
(10元)为什么UTF8的TXT文件存入SQLite后大小增加近三倍?
为什么我的一个txt文件大小是600MB(utf8),其中全部为英文单词和符号(一篇篇英文文章)。我将每一个词一行存入sqlite中(TEXT)后,大小为1.5GB,大了近三倍?有没有办法做到跟原文件差不多大小。1 回答2.4k 阅读✓ 已解决
本篇内容翻译自 Stack Overflow,如果你觉得翻译结果值得改进,欢迎直接编辑修改,感谢你为社区贡献。
宣传栏
SQL 注入的问题在于,用户输入被用作 SQL 语句的一部分。通过使用准备好的语句,您可以强制将用户输入作为参数的内容来处理(而不是作为 SQL 命令的一部分)。
但是,如果您不使用用户输入作为准备语句的参数,而是通过将字符串连接在一起来构建 SQL 命令,那么即使使用准备语句,您 仍然容易受到 SQL 注入攻击。