本文介绍了一种通过使用预编译SQL语句来有效防止SQL注入攻击的方法。该方法利用PreparedStatement设置参数的方式,确保了SQL语句的安全性和可靠性。
采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
