1.Statement 安全漏洞
Statement: JDBC中与数据库 交互的API。
特点:先拼接sql 在 执行。
安全漏洞: 可注入 逻辑代码 在 sql中。 比如:
SELECT * FROM user WHERE name='lk' AND password = '123'
此时,如果将参数 123 被用户写成 123 or 1=1, 则会出现注入漏洞。
解决办法:
使用 PrepareStatement 代替 Statement。
PrepareStatement 特点: 先写sql,参数用‘?’代替, 后传value,此时的value一律不参与 sql的逻辑。
注意: '?' 的index 从1开始。
网友评论