关于PreparedStatement的安全性~

kurau

我看到很多介绍都提到了使用PreparedStatement的安全方面好处。我想确认一下，是否在SQL处理时使用了PreparedStatement完全不用做字符串检查就可以防止SQL注入了？（主要针对WEB应用。）

kurau

顶一下~~
没人回答么？

wobushiwo

我记得应该是。。。

你做一下实验，插入一下试试咯

tong0245

原帖由 kurau 于 2006-5-8 14:26 发表
我看到很多介绍都提到了使用PreparedStatement的安全方面好处。我想确认一下，是否在SQL处理时使用了PreparedStatement完全不用做字符串检查就可以防止SQL注入了？（主要针对WEB应用。）

是这样的 但是会丧失一定的灵活性

kurau

原帖由 wobushiwo 于 2006-5-9 12:04 发表
我记得应该是。。。

你做一下实验，插入一下试试咯

我试了些常见的，是没有效果，但我毕竟不是专业的hacker,所以不能保证。

原帖由 tong0245 于 2006-5-9 12:04 发表
是这样的 但是会丧失一定的灵活性

请问，丧失一定的灵活性是和Statement相比而言么？

tong0245

statement你可以动态的随意 拼装条件
preparedstatment 条件参数是写死了

knight-yl

原帖由 tong0245 于 2006-5-9 15:41 发表

是这样的 但是会丧失一定的灵活性

奇怪灵活性丧失在哪儿？

perryhg

只是相比较之下要增加一些代码量，不过为了安全，还是值得的。