SQL注入漏洞

通过输入包含SQL语句关键字来对系统进行不法操作,例如别人在只知道你的账号而不知道你的密码的状况下,通过SQL注入漏洞可使用你的用户名登录进系统。

  • 输入用户名(以下“aaa”为用户名)
    • aaa’ or ‘1=1 密码随意
    • aaa’ – 密码随意

SQL注入漏洞分析

SQL注入漏洞分析

SQL注入漏洞解决

需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表的内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。