防注入:
就是用户在登陆的时候在语句后面加上 or 1=1
这样无论账号密码是否正确账号都可以登录成功;
这样是极为不安全的行为;
而要防止这样的行为;可以在进行数据库语句执行的时候把statement执行语句转换为preparedstatement语句;
preparedstatement:
1、执行效率更高;
因为在进行PreparedStatement ps = con.prepareStatement(sql);创建的时候已经进行预编译了
它只会执行一遍sql语句,可以重复进行调用,同一类型sql语句不需要重新进行预编译;这样可以大大的提高代码的效率;
2、防注入
它在最开始创建的时候就进行了预编译,如果输入了空格,单引号,or 1=1 的时候就会认为是非法输入;
扫描二维码关注公众号,回复:
2890690 查看本文章
