我如果把select * form table where uesrname='name' and userpass='md5(password)',进行拆分判断类似先select name 在取提交的进行相同加密再和数据库对比,是不是可以一定程避免sql注入
会有作用。按楼主的想法,只需要把MD5加密这步挪到代码里去就可以了。当然这也仅仅能对付登录的时候输入非法的sql。
sql注入主要就是由sql语句直接拼接造成的,你直接用preparedstatement就可以避免这个问题了