温馨提示×

preparestatement是怎么防止sql注入的

小新
247
2021-01-06 13:45:36
栏目: 云计算

preparestatement是怎么防止sql注入的

preparestatement防止sql注入的方法:

当使用PreprareStatement时,即使参数里有敏感字符如or '1=1',数据库也会作为一个参数一个字段的属性值来处理,而不会作为一个SQL指令来执行,用法示例:

String sql="update cz_zj_directpayment dp"+

"set dp.projectid = ? where dp.payid= ?";

try {

PreparedStatement pset_f = conn.prepareStatement(sql);

pset_f.setString(1,inds[j]);

pset_f.setString(2,id);

pset_f.executeUpdate(sql_update);

}catch(Exception e){

//e.printStackTrace();

logger.error(e.message());

}

0