為什么預編譯可以防止sql注入

為什么預編譯可以防止sql注入？針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

 預編譯可以防止sql注入的原因：進行預編譯之后，sql語句已經(jīng)被數(shù)據(jù)庫分析，編譯和優(yōu)化了，并且允許數(shù)據(jù)庫以參數(shù)化的形式進行查詢，所以即使有敏感字符數(shù)據(jù)庫也會當做屬性值來處理而不是sql指令了

大家都知道，java中JDBC中，有個預處理功能，這個功能一大優(yōu)勢就是能提高執(zhí)行速度尤其是多次操作數(shù)據(jù)庫的情況，再一個優(yōu)勢就是預防SQL注入，嚴格的說，應該是預防絕大多數(shù)的SQL注入。

用法就是如下邊所示：

String sql="update cz_zj_directpayment dp"+
 "set dp.projectid = ? where dp.payid= ?";
try {
PreparedStatement pset_f = conn.prepareStatement(sql);
pset_f.setString(1,inds[j]);
pset_f.setString(2,id);
pset_f.executeUpdate(sql_update);
}catch(Exception e){
//e.printStackTrace();
logger.error(e.message());
}

那為什么它這樣處理就能預防SQL注入提高安全性呢？其實是因為SQL語句在程序運行前已經(jīng)進行了預編譯，在程序運行時第一次操作數(shù)據(jù)庫之前，SQL語句已經(jīng)被數(shù)據(jù)庫分析，編譯和優(yōu)化，對應的執(zhí)行計劃也會緩存下來并允許數(shù)據(jù)庫以參數(shù)化的形式進行查詢，當運行時動態(tài)地把參數(shù)傳給PreprareStatement時，即使參數(shù)里有敏感字符如 or '1=1'也數(shù)據(jù)庫會作為一個參數(shù)一個字段的屬性值來處理而不會作為一個SQL指令，如此，就起到了SQL注入的作用了！

關于為什么預編譯可以防止sql注入問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業(yè)資訊頻道了解更多相關知識。