sql注入

标签：style   blog   http   color   java   使用   数据   ar   

1. 参数化预编译之所以能防御住SQL注入，只要是基于以下2点:
    1) setString(): WEB程序接收字符串的场景
    将用户输入的参数全部强制转换为字符串，并进行适当的转义，防止了闭合的产生
    2) setInt(): WEB程序接收整型的场景
    将用户输入的非整型参数强制转换为整型，并去除潜在的"非整型注入字符"，类似与PHP中的intVal()防御思路
2. 并不是说使用了参数化预编译方法执行SQL，就不会有注入的发生了，当WEB系统和DataBase系统的字符集配置不当，可能会导致宽字节注入的发生


Java JDBC现在主流的做法是"本地协议驱动"，为此，Java需要借助不同厂商提供的数据库驱动(本质上是一个JAR包)来和数据库进行连接



http://www.cnblogs.com/LittleHann/p/3695332.html

sql注入,布布扣,bubuko.com

sql注入

标签：style   blog   http   color   java   使用   数据   ar   

原文地址：http://www.cnblogs.com/softidea/p/3902278.html