private int chackId(String tableName,String idName,int step){
int returnId = 0;
DBHelper dbHelper = null;
ResultSet ret = null;
String sql = "select Max(" + idName + ") from "
+ tableName;
dbHelper = SqlMove.dbHelper;// 创建DBHelper对象
try {
ret = dbHelper.conn.prepareStatement(sql).executeQuery();
while (ret.next()) {
returnId = ret.getInt(1)+step;
}
} catch (SQLException e) {
e.printStackTrace();
}
return returnId;
}
这个是不是就用了预编译加字段拼接?还可以防止注入吗
使用预编译加占位符‘?’才能防止SQL注入,你这样拼接不会防止sql注入,
说个用户登录的场景,我后台的查询语句是
String username = paramName;
String password = paramPwd;
String sql = "select * from user where username="+paramName+" and password = "+paramPwd;
如果前台用户输入的username是_**wangml010**_,password输入的是 "1" or 1=1,如果我是拼接字符串,那么我的查询语句就成了这样
select * from user where username="wangml010" and password = "1" or 1=1
试想一下是不是很危险,稍微懂点技术的人就会随意登录你的系统。
相反占位符就不会出现这个问题,它会把传过来的参数进行转义,具体的转义方法可以看看源代码
一般习惯使用占位符“?",然后在进行占位符赋值