String sql = "select * from user where name = '" + name + "' and password = '" + password + "' ;";

//说明：使用拼接的sql语句会有sql注入问题

System.out.println(sql);

......省略操作数据库代码............

控制台操作：

请输入用户名:

123

请输入密码:

123' or 1 ='1

select * from user where name = '123' and password = '123' or 1 = '1' ;

登录成功...

解决方法:

preparedStatement：预编译对象， 是Statement对象的子类。

特点：

性能要高

会把sql语句先编译，使用?号作为sql参数的占位符，再通过方法添加sql参数解决SQL注入问题

最新文章

1. 在不动用sp_configure的情况下，如何 =》去掉列的自增长，并保留原数据
2. .Net处理Oracle中Clob类型字段总结
3. 51nod 1005 大数加法
4. Windows下用VMware安装Ubuntu虚拟机
5. dbms_output.put_line 不显示
6. My97DatePicker使用技巧
7. 转帖：Html.BeginForm
8. struts2语法--error页面如何捕获?
9. lvs，nginx反向代理，虚拟主机
10. 第七章 Hyper-V 2012 R2 授权管理
11. CentOS 7下简单的Ansible使用入门
12. 58-63用ssh远程连接linux系统
13. webstorm版本2017.2开发stylus报错
14. 安装mysql时启动服务出错问题
15. oracle compile 编译无效对象
16. 为什么你写的用例测不出Bug来？
17. Python基础（2）：__doc__、文档字符串docString、help()
18. 写给C#程序员的javascript说明： 各类型变量和prototype
19. C# 等值锁定
20. Laxcus大数据操作系统2.0（5）- 第二章 数据组织

热门文章

1. InstelliJ IDEA使用js+servlet+ajax入门
2. PAT甲级——1112 Stucked Keyboard (字符串+stl)
3. 微信小程序实战
4. Sam's Numbers 矩阵快速幂优化dp
5. plsql连接远程数据库快捷方式
6. JS类对象实现继续的几种方式
7. js控制语句
8. Redis集群批量操作
9. java实现按对象某个字段排序，排序字段和规则自定义
10. sublime text 快捷键新建.vue