Molet

为什么说Mysql预处理可以防止SQL注入

Molet 系统安装 2023-02-27 1161浏览 0

简单点理解:prepareStatement会形成参数化的查询,例如:

1

select * from A where tablename.id = ?

传入参数’1;select * from B’如果不经过prepareStatement,会形成下面语句:

1

select * from A where tablename.id = 1;select * from B

这样等于两次执行,但如果经过预处理,会是这样:

1

select * from A where tablename.id = ‘1;select * from B’

‘1;select * from B’只是一个参数,不会改变原来的语法

继续浏览有关 数据库技术文章/教程 的文章
发表评论