package org.west.demo; import java.sql.*; // Driver 驱动 public class TestJdbc { public static void main(String[] args) throws ClassNotFoundException, SQLException { Class.forName("com.mysql.jdbc.Driver"); Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbcstudy", "root", "123456"); Statement statement = connection.createStatement(); String sql="delete from users where id=2 or 1=1"; statement.execute(sql); } }
Statement这个类 是通过拼接字符串的形式 给sql添加语句 这样 我们只需要给他拼接个 or 1=1 这样不管什么情况下 它都是true了 我们就可以访问到了mysql 的所有数据。
为了预防sql注入我们 应多使用
PreparedStatement 这个类。
原文:https://www.cnblogs.com/xiaoqiqistudy/p/11178015.html