sql语句不应该直接带参数是为了防止sql注入攻击
来源:互联网 发布:知乎封面图 编辑:程序博客网 时间:2024/06/03 20:53
<pre name="code" class="java">String sql = "select * from market_orders where createdate>='"+startTime+"' and createdate<'"+endTime+"'";
上面的sql语句是不安全的,容易导致sql注入攻击我也不知道什么是sql注入攻击
应该这样写更安全,养成习惯
String sql = "select * from market_orders where createdate>='?' and createdate<'?'";
然后setParameter()将参数传进去
具体的如下,int和string必须区分好
String sql = "insert into mealtbl (createTime,userID,mealTypeID,detail,num)values(?,?,?,?,?)";try {PreparedStatement pstmt = conn.prepareStatement(sql);pstmt.setString(1, m.getCreateTime());pstmt.setInt(2, m.getUserID());pstmt.setInt(3, m.getMealTypeID());pstmt.setString(4,m.getDetail());pstmt.setInt(5, m.getNum());pstmt.executeUpdate();} catch (SQLException e) {// TODO Auto-generated catch blocke.printStackTrace();}finally{util.close(conn);}
0 0
- sql语句不应该直接带参数是为了防止sql注入攻击
- 参数化SQL语句,防止SQL注入漏洞攻击
- 执行带参数的Sql语句(防止注入)
- 防止sql语句编写注入攻击
- 参数化登陆防止SQL注入攻击
- SQL注入防止攻击
- 防止sql注入攻击
- 防止SQL注入攻击
- 防止SQL注入攻击
- 防止SQL注入攻击
- 防止sql注入攻击
- 防止SQL注入攻击
- 防止SQL注入攻击
- 防止SQL注入攻击
- 防止sql注入式攻击
- 防止SQL注入式攻击
- 防止SQL注入式攻击
- 防止SQL注入式攻击
- OpenWRT的包依赖 package DEPEND
- JavaScript Array类型 小抄
- QFile 以追加的方式打开文件,读取内容为空的情况
- swift 2.0 类中的继承
- vc2010 sse指令优化效果明显
- sql语句不应该直接带参数是为了防止sql注入攻击
- 20151014静态、动态心形图
- 你不知道的JavaScript--Item6 var预解析与函数声明提升(hoist )
- Flash 集成Keymob教程
- 安卓5.0添加系统设置方法
- 为何JS函数中使用RETURN后表单仍旧提交了
- Eclipse 下如何引用另一个项目的Java文件 JAVA
- 数学系新生经验谈
- Android 5.0 双卡信息管理分析