JDBC - SQL インジェクションの脆弱性の防止
プリコンパイルを使用すると、SQL インジェクションの脆弱性を効果的に防止できます。
理由: SQL インジェクションの脆弱性は、ステートメントでは効果的に防止できません。これは、ユーザーがパラメーターを渡すときに、一重引用符 ' ' などの特殊文字を渡す可能性があるためです。 -- これは SQL ステートメントに影響します。
つまり、プリコンパイルでプレースホルダーを使用すると、この問題に効果的に対処できます。
public class Prepared { @Test public void papa(){ Connection conn = null; PreparedStatement pstmt = null; ResultSet rs = null; try{ //注册驱动 // Class.forName("com.mysql.jdbc.Driver"); //建立连接 // conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/user","root","dumy"); conn =JDBCUtils.getConnection(); //编写sql代码 //String sql = "select * from administer where id = ?"; String sql = "select * from administer where username = ? and password =?"; //预编译 pstmt = conn.prepareStatement(sql); //给? 赋值 pstmt.setString(1, "ddd"); pstmt.setString(2, "123"); rs= pstmt.executeQuery(); while(rs.next()){ System.out.println("登录成功"); } }catch(Exception e){ e.printStackTrace(); }finally{ JDBCUtils.release(pstmt, conn, rs); } } }
以上がJDBCでのSQLインジェクションを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。