預編譯可以防止sql注入的原因:進行預編譯之后,sql語句已經被數據庫分析,編譯和優化了,并且允許數據庫以參數化的形式進行查詢,所以即使有敏感字符數據庫也會當做屬性值來處理而不是sql指令了
大家都知道,Java中JDBC中,有個預處理功能,這個功能一大優勢就是能提高執行速度尤其是多次操作數據庫的情況,再一個優勢就是預防SQL注入,嚴格的說,應該是預防絕大多數的SQL注入。
用法就是如下邊所示:
String?sql="update?cz_zj_directpayment?dp"+ ?"set?dp.projectid?=???where?dp.payid=??"; try?{ PreparedStatement?pset_f?=?conn.prepareStatement(sql); pset_f.setString(1,inds[j]); pset_f.setString(2,id); pset_f.executeUpdate(sql_update); }catch(Exception?e){ //e.printStackTrace(); logger.error(e.message()); }
那為什么它這樣處理就能預防SQL注入提高安全性呢?其實是因為SQL語句在程序運行前已經進行了預編譯,在程序運行時第一次操作數據庫之前,SQL語句已經被數據庫分析,編譯和優化,對應的執行計劃也會緩存下來并允許數據庫以參數化的形式進行查詢,當運行時動態地把參數傳給PreprareStatement時,即使參數里有敏感字符如 or ‘1=1’也數據庫會作為一個參數一個字段的屬性值來處理而不會作為一個SQL指令,如此,就起到了SQL注入的作用了!
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
