标签：语句 userName preparedStatement 不同 user Statement sql password where

转自:

http://www.java265.com/JavaMianJing/202205/16534006123487.html

下文笔者讲述preparedStatement和Statement的区别说明，如下所示

区别1:效率
   预编译会话比普通会话对象
   数据库系统不会对相同的sql语句不会再次编译

区别2:安全性
   可以有效的避免sql注入攻击
   sql注入攻击就是从客户端输入一些非法的特殊字符
   而使服务器端在构造sql语句的时候仍然能够正确构造
   从而收集程序和服务器的信息和数据

 如:“select * from user where userName = ‘” + userName + “ ’ and password =’” + password + “’”
    如果用户名和密码输入的是’1’ or ‘1’=’1’
    则生产的sql语句是
      “select * from user where userName = ‘1’ or ‘1’ =’1’  and password =’1’  or ‘1’=’1’  
	 这个语句中的where 部分没有起到对数据筛选的作用

标签：语句,userName,preparedStatement,不同,user,Statement,sql,password,where
来源： https://www.cnblogs.com/java265/p/16307363.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。