是怎么:preparestatement是如何防止sql注入的
preparestatement是如何避免sql注入的
preparestatement避免sql注入的方法:
当使用PreprareStatement时,即便参数里有敏感字符如or '1=1',数据库也会作为一个参数一个字段的属性值来处理,而不会作为一个SQL指令来履行,用法示例:
String sql="update cz_zj_directpayment dp"+
"set dp.projectid = ? where dp.payid= ?";
try {
PreparedStatement pset_f = conn.prepareStatement(sql);
pset_f.setString(1,inds[j]);
pset_f.setString(2,id);
pset_f.executeUpdate(sql_update);
}catch(Exception e){
//e.printStackTrace();
logger.error(e.message());
}
文章来源:丸子建站
文章标题:是怎么:preparestatement是如何防止sql注入的
https://www.wanzijz.com/view/5871.html