采⽤sql语句预编译和绑定变量
采⽤了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先
进⾏语法分析,产⽣语法树,⽣成执⾏计划,也就是说,后⾯你输⼊的参数,⽆论你输⼊的是什么,都不会影响该sql语句的语法结构了,
因为语法分析已经完成了,⽽语法分析主要是分析sql命令,⽐如 select ,from ,where ,and, or ,order by 等等。所以即使你后⾯输⼊了这
些sql命令,也不会被当成sql命令来执⾏了,因为这些sql命令的执⾏, 必须先的通过语法分析,⽣成执⾏计划,既然语法分析已经完成,
已经预编译过了,那么后⾯输⼊的参数,是绝对不可能作为sql命令来执⾏的,只会被当做字符串字⾯值参数。所以sql语句预编译可以防御
sql注⼊。
前后端对参数内容进行校验,同时sql中不要使用${}要用#{}
您好,我是有问必答小助手,您的问题已经有小伙伴帮您解答,感谢您对有问必答的支持与关注!