sql參數化能防止注入是因為基于以下兩點:
1.setString(): 在WEB程序接收字符串的場景使用,它可將用戶輸入的參數全部強制轉換為字符串,并進行適當的轉義,防止了sql注入的產生。
2.setInt(): 在WEB程序接收整型的場景使用,它可將用戶輸入的非整型參數強制轉換為整型,并去除潛在的"非整型注入字符",類似與PHP中的intVal()防御思路。
億速云公眾號
手機網站二維碼
Copyright ? Yisu Cloud Ltd. All Rights Reserved. 2018 版權所有
廣州億速云計算有限公司粵ICP備17096448號-1 粵公網安備 44010402001142號增值電信業務經營許可證編號:B1-20181529
