Mysql
 sql >> Base de données >  >> RDS >> Mysql

Empêcher les attaques par injection SQL dans un programme Java

Vous devez utiliser PreparedStatement .ex.

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);

ResultSet rs = ps.executeQuery();

Cela empêchera les attaques par injection.

La façon dont le pirate l'insère est si la chaîne que vous insérez provient d'une entrée quelque part - par ex. un champ de saisie sur une page Web, ou un champ de saisie sur un formulaire dans une application ou similaire.