PreparedStatement(簡單又有效的方法)
例如:
最終執行的sql語句打印出來是SELECT * FROM admin WHERE username = '韋小寶' AND password = '\';DROP TABLE tableName;#'
從以上截圖就能看出來,由此可見,prepareStatement對象防止sql注入的方式是把用戶非法輸入的單引號用\反斜杠做了轉義,從而達到了防止sql注入的目的
Statement對象就沒那么好心了,它才不會把用戶非法輸入的單引號用\反斜杠做轉義呢!
PreparedStatement可以有效防止sql注入,所以生產環境上一定要使用PreparedStatement,而不能使用Statement
當然啦,你可以仔細研究下PreparedStatement對象是如何防止sql注入的,我自己把最終執行的sql語句打印出來了,看到打印出來的sql語句就明白了,原來是mysql數據庫產商,在實現PreparedStatement接口的實現類中的setString(int parameterIndex, String x)函數中做了一些處理,把單引號做了轉義(只要用戶輸入的字符串中有單引號,那mysql數據庫產商的setString()這個函數,就會把單引號做轉義)
使用正則表達式過濾傳入的參數