PreparedStatement解决sql注入问题

本文转载自查看原文 2016-07-08 11:17 2429 JAVA

总结 PreparedStatement解决sql注入问题

：sql中使用？做占位符

2.得到PreparedStatement对象

PreparedStatement pst=conn.prepareStatement(String sql);

pst.setString(1,"aaa");//设置第一个?的占位符赋值

pst.setString(2,"bbb");

// 查找用户使用PreparedStatement 解决了 sql注入问题

public User findUser(User user) {

String sql = "select * from user where username='?' and password='?'" ;

Connection conn = null ;

PreparedStatement pst = null ;

ResultSet rs = null ;

try {

conn = jdbcUtils. getConnection();

pst = conn.prepareStatement(sql);

pst.setString(1, user.getUsername());

pst.setString(2, user.getPassword());

rs = pst.executeQuery();

if (rs.next()) {

User u = new User();

u.setId(rs.getInt( "id" ));

u.setUsername(rs.getString( "username" ));

u.setPassword(rs.getString( "password" ));

u.setEmail(rs.getString( "email" ));

return u;

}

} catch (Exception e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

return null ;

}

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 PreparedStatement是如何防止SQL注入的？转！！ PreparedStatement是如何防止SQL注入的 preparedstatement 为什么可以防止sql注入 Statement和PreparedStatement的区别; 什么是SQL注入，怎么防止SQL注入？ pymysql 解决 sql 注入问题 PreparedStatement的参数问题（已解决）用java PreparedStatement就不用担心sql注入了吗？在JDBC中使用PreparedStatement代替Statement，同时预防SQL注入通过jdbc使用PreparedStatement，提升性能，防止sql注入 SQL注入问题及解决方案