如何使用SQL查询转义用户提供的参数?
发布时间:2020-12-12 16:17:55 所属栏目:MsSql教程 来源:网络整理
导读:尝试开始使用JDBC(使用Jetty MySQL).我不确定如何在SQL语句中转义用户提供的参数.例: String username = getDangerousValueFromUser();Statement stmt = conn.createStatement();stmt.execute("some statement where username = '" + username + "'")); 在使
尝试开始使用JDBC(使用Jetty MySQL).我不确定如何在SQL语句中转义用户提供的参数.例:
String username = getDangerousValueFromUser();
Statement stmt = conn.createStatement();
stmt.execute("some statement where username = '" + username + "'"));
在使用声明之前,我们如何逃避“用户名”? 解决方法使用 Prepared statement.例如 : con.prepareStatement("update Orders set pname = ? where Prod_Id = ?");
pstmt.setInt(2,100);
pstmt.setString(1,"Bob");
pstmt.executeUpdate();
它将阻止原始SQL注入 如果要转义sql字符串,请检查 另见 > does-using-preparedstatement-mean-there-will-not-be-any-sql-injection (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容