IDEA中使用Java *** 作MySQL防止SQL注入

IDEA中使用Java *** 作MySQL防止SQL注入

一般解决SQL注入的方法很简单，就是使用prepareStatement()函数，在sql语句中要传入变量的地方使用占位符"?"代替，然后使用prepareStatement()函数对要sql语句进行预处理。实现代码如下：

import java.sql.*;
import java.util.Scanner;

public class preventSQLInjection {
    public static void main(String[] args) throws SQLException {
        Scanner scanner = new Scanner(System.in);
        System.out.print("请输入查询姓名：");
        String name = scanner.nextLine();
        Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "123456");
        // 用户要输入的位置就用“?”来替换，这个“?”被称为占位符
        String selectSql = "select * from student where name = ?";
        // prepareStatement()函数对传入的sql语句进行预处理
        PreparedStatement statement = connection.prepareStatement(selectSql);
        // setObject(1,name) 方法设置前面的sql查询语句中的第一个?是name变量，如果sql语句中有多个？那么setObject()方法中的第一个参数跟着排序就是了
        // setObjet()适用于所用类型的变量，由于name是String类型变量，这里也可以用setString(1, name);
        // statement.setString(1, name);
        statement.setObject(1, name);
        // 执行sql语句，这里executeQuery()中就不要传输sql语句了，因为前面已经知道了sql语句
        ResultSet selectResult = statement.executeQuery();
        if (selectResult.next()) {
            // 查询结果不为空
            System.out.println("表中有姓名为：" + name + "的学生");
        } else {
            System.out.println("查无此人！");
        }
        selectResult.close();
        statement.close();
        connection.close();
    }
}