*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入
一、采用jdbc操作数据时候
String sql = "update ft_proposal set id = "+id;
PreparedStatement prepareStatement = conn.prepareStatement(sql);
prepareStatement.executeUpdate();
preparedStatement 预编译对象会对传入sql进行预编译,那么当传入id 字符串为 “update ft_proposal set id = 3;drop table ft_proposal;” 这种情况下就会导致sql注入删除ft_proposal这张表。
如何防止sql注入,首先将要执行sql进行预编译,然后在将占位符进行替换
String sql = "update ft_proposal set id = ?"
PreparedStatement ps = conn.preparedStatement(sql);
ps.setString(1,"2");
ps.executeUpdate();
处理使用预编译语句之外,另一种实现方式可以采用存储过程,存储过程其实也是预编译的,存储过程是sql语句的集合,将所有预编译的sql 语句编译完成后,存储在数据库上,
由于存储过程比较死板一般不采用这种方式进行处理。
二、mybatis是如何处理sql注入的?
假设mapper.xml文件中sql查询语句为: