A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© qlimx 中级黑马   /  2016-8-28 12:58  /  484 人查看  /  0 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

假设有登录案例SQL语句如下:
SELECT * FROM 用户表
WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

此时,当用户输入正确的账号u密码后,查询到了信息则让用户登录。
但是当用户输入的账号为XXX 密码为:XXX’  OR ‘a’=’a时
则真正执行的代码变为:
SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ‘a’=’a’;
此时,上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注入问题。
为此,我们使用PreparedStatement来解决对应的问题。

0 个回复

您需要登录后才可以回帖 登录 | 加入黑马