3回答

慕仙森

PreparedStatement是可行的，因为它们使SQL注入成为不可能。下面是一个简单的示例，将用户的输入作为参数：public insertUser(String name, String email) {    Connection conn = null;    PreparedStatement stmt = null;    try {       conn = setupTheDatabaseConnectionSomehow();       stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");       stmt.setString(1, name);       stmt.setString(2, email);       stmt.executeUpdate();    }    finally {       try {          if (stmt != null) { stmt.close(); }       }       catch (Exception e) {          // log this error       }       try {          if (conn != null) { conn.close(); }       }       catch (Exception e) {          // log this error       }    }}无论名称和电子邮件中有哪些字符，这些字符都将直接放在数据库中。它们不会以任何方式影响INSERT语句。对于不同的数据类型，有不同的集合方法-使用哪种方法取决于数据库字段是什么。例如，如果数据库中有整数列，则应使用setInt方法。筹备情况文件列出所有可用于设置和获取数据的不同方法。

0 0

0

ITMISS

防止SQL注入的唯一方法是使用参数化SQL。构建一个比以黑客SQL为生的人更聪明的过滤器是不可能的。因此，请为所有输入、更新和WHERE子句使用参数。动态SQL只是为黑客打开的一扇门，其中包括存储过程中的动态SQL。参数化，参数化。

0 0

0