内容摘要：一、采用jdbc操作数据时候Stringsql="updateft_proposalsetid="+id;PreparedStatementprepareStatement=conn.prepareS

 一、防止采用jdbc操作数据时候

String sql = "update ft_proposal set id = "+id;         PreparedStatement prepareStatement = conn.prepareStatement(sql);         prepareStatement.executeUpdate(); 

preparedStatement 预编译对象会对传入sql进行预编译，防止那么当传入id 字符串为 "update ft_proposal set id = 3;drop table ft_proposal;" 这种情况下就会导致sql注入删除ft_proposal这张表。防止

如何防止sql注入，防止首先将要执行sql进行预编译，防止然后在将占位符进行替换

String sql = "update ft_proposal set id = ?防止" PreparedStatement ps = conn.preparedStatement(sql); ps.setString(1,"2"); ps.executeUpdate(); 

处理使用预编译语句之外，另一种实现方式可以采用存储过程，防止存储过程其实也是防止预编译的，存储过程是防止sql语句的集合，将所有预编译的防止sql 语句编译完成后，服务器租用存储在数据库上，防止

由于存储过程比较死板一般不采用这种方式进行处理。防止

二、防止mybatis是防止如何处理sql注入的？

假设mapper.xml文件中sql查询语句为：

<select id="findById" resultType="String">     select name from user where id = #{ userid}; </select> 

对应的接口为：

public String findById(@param("userId")String userId); 

当传入的参数为3;drop table user; 当我们执行时可以看见打印的sql语句为：

select name from usre where id = ?;

不管输入何种参数时，都可以防止sql注入，防止因为mybatis底层实现了预编译，底层通过prepareStatement预编译实现类对当前传入的sql进行了预编译，这样就可以防止sql注入了。云服务器

如果将查询语句改写为：

<select id="findById" resultType = "String"> select name from user where id=${ userid} </select> 

当输入参数为3；drop table user; 执行sql语句为

select name from user where id = 3;drop table user ; 

mybatis没有进行预编译语句，它先进行了字符串拼接，然后进行了预编译。这个过程就是sql注入生效的过程。

因此在编写mybatis的映射语句时，尽量采用“#{ xxx}”这样的格式。若不得不使用“${ xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。高防服务器