问题描述
sql注入的问题在于,用户输入被用作sql语句的一部分。通过使用准备好的语句,您可以强制将用户输入作为参数的内容(而不是sql命令的一部分)进行处理。
但是,如果您不使用用户输入作为已准备好的语句的参数,而是通过将字符串连接在一起来构建sql命令,那么即使使用已准备好的语句,您仍然容易受到sql注入的攻击。
考虑做同一件事的两种方法:
PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();
要么
PreparedStatement stmt = conn.prepareStatement("INSERT INTO student VALUES(?)");
stmt.setString(1, user);
stmt.execute();
Robert'); DROP TABLE students; --
然后在第一个实例中,您将被迫接管。第二,为了安全起见,Little Bobby Tables将为您的学校注册。
解决方法
我知道PreparedStatements避免/防止SQL注入。它是如何做到的?使用PreparedStatements构造的最终表单查询是否为字符串?