mysql如何防止sql注入_mysql防止sql注入

作者：IT小白 | 2024-04-23 17:45:35

踩

mysql防止sql注入

如果是原生jdbc操作，使用prepareStatement代替代替Statement，因为prepareStatement会预编译处理，参数用？占位符代替。

如果是mybatis框架，使用#{参数}设置参数，不要用${参数}

为什么mybatis中的#{} 为什么能防止sql注入，${}不能防止sql注入，PreparedStatement能防止sql注入呢？

#{}在mybatis中的底层是运用了PreparedStatement 预编译。

PreparedStatement 的sql语句是预编译的，而且语句中使用了占位符（?设置占位符），规定了sql语句的结构。当sql预编译完后，传入的参数就仅仅是参数，不会参与sql语句的生成，不能改变sql语句的结构。

而${}则没有使用预编译，传入的参数直接和sql进行拼接，由此会产生sql注入的漏洞。

因此想在sql语句后面加上如“or 1=1”实现sql注入是行不通的。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/IT小白/article/detail/475236