四种防止SQL注入的解决方案

前言

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

这个id从请求参数中获取，若参数被拼接为：

1001 or 1 = 1

最执行语句变为：

String sql = "delete from table1 where id = 1001 or 1 = 1";

此时，数据库的数据都会被清空掉，后果非常严重

下面介绍4种如何防止SQL注入的方案：

PreparedStatement具有预编译功能，以上述SQL为例

使用PreparedStatement预编译后的SQL为：

delete from table1 where id= ?