一、SQL注入现象
用户名:xxx;
密码:xxx‘ or ‘1‘=‘1; -->登录成功
用户输入的信息中含有sql关键字,而这些关键字加入了sql的编译。
二、解决SQL注入
1.要求用户提供的信息不参与SQL编译过程,即使提供的信息中含有关键字,只要没有参与SQL编译就不会出现问题;
2.要想用户信息不参与sql编译可以使用 import java.sql.PreparedStatement,PreparedStatement接口继承了java.sql.Statement;
3.PreparedStatement是属于预编译数据库操作对象,预先对SQL语句的框架进行编译,然后再向SQL传“值”。
原文:https://www.cnblogs.com/Madszz/p/15313915.html