一般解决SQL注入的方法很简单,就是使用prepareStatement()函数,在sql语句中要传入变量的地方使用占位符"?"代替,然后使用prepareStatement()函数对要sql语句进行预处理。实现代码如下:
import java.sql.*;
import java.util.Scanner;
public class preventSQLInjection {
public static void main(String[] args) throws SQLException {
Scanner scanner = new Scanner(System.in);
System.out.print("请输入查询姓名:");
String name = scanner.nextLine();
Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "123456");
// 用户要输入的位置就用“?”来替换,这个“?”被称为占位符
String selectSql = "select * from student where name = ?";
// prepareStatement()函数对传入的sql语句进行预处理
PreparedStatement statement = connection.prepareStatement(selectSql);
// setObject(1,name) 方法设置前面的sql查询语句中的第一个?是name变量,如果sql语句中有多个?那么setObject()方法中的第一个参数跟着排序就是了
// setObjet()适用于所用类型的变量,由于name是String类型变量,这里也可以用setString(1, name);
// statement.setString(1, name);
statement.setObject(1, name);
// 执行sql语句,这里executeQuery()中就不要传输sql语句了,因为前面已经知道了sql语句
ResultSet selectResult = statement.executeQuery();
if (selectResult.next()) {
// 查询结果不为空
System.out.println("表中有姓名为:" + name + "的学生");
} else {
System.out.println("查无此人!");
}
selectResult.close();
statement.close();
connection.close();
}
}
