本文探讨了SQL注入攻击的基本原理及其对Statement的有效性,并详细解释了为何PreparedStatement能有效防御此类攻击。此外还介绍了PreparedStatement相较于Statement的其他优势,包括执行速度、防止缓冲区溢出及提高代码质量。
SQL注入攻击是利用是指利用设计上的漏洞在目标服务器上运行Sql语句以及 进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement 是无效的这是因为PreparedStatement不允许在不同的插入时改变查询的逻辑结构。
如验证用户是否存在的SQL语句为 :
select count(*) from usertable where name='用 户 名 ' and pswd='密 码 '
如果在用户名字段中输 入 ' or '1'='1' or '1'='1或是在密码字段中输入 1' or '1'='1将绕过验证,但这种手段只对只对 Statement有效,对PreparedStatement无效。
PreparedStatement 相 对 Statement有以下 优 点:
1.防注入攻 击
2.多次运行速度快
3.防止数据库缓冲区溢出
4.代码的可读性可维护性好
这四点使得 PreparedStatement 成为访问数据库的语句对象的首选,缺点是灵活性不够好,有些场合还是必须使用Statement。
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
