SQL注入漏洞
通过输入包含SQL语句关键字来对系统进行不法操作,例如别人在只知道你的账号而不知道你的密码的状况下,通过SQL注入漏洞可使用你的用户名登录进系统。
- 输入用户名(以下“aaa”为用户名)
- aaa’ or ‘1=1 密码随意
- aaa’ – 密码随意
SQL注入漏洞分析
SQL注入漏洞解决
需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表的内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。