String.format或+拼接SQL是高危操作,因数据库驱动将拼接结果视为合法SQL执行,无法防御注入;必须用PreparedStatement等参数化查询,使用户输入仅作为数据而非语法结构处理。为什么 String.format 或 + 拼接 SQL 就算高危操作因为数据库驱动不会识别你拼出来的 WHERE name = 'admin' OR '1'='1' 是"用户输入",它只当这是合法 SQL 字符串执行。参数化查询的防护机制(如 PreparedStatement)在 SQL 解析阶段就固定了语句结构,变量值永远作为数据传入,不参与语法解析。常见错误现象:java.sql.SQLException: ORA-00917: missing comma 或看似正常但查出不该查的数据使用场景:任何含用户可控输入的地方------登录、搜索、导出条件、分页 offset哪怕输入做了 replaceAll("'", "''") 或 trim(),也拦不住 1; DROP TABLE users-- 这类绕过Java 里必须用 PreparedStatement 替代 Statement不是"建议用",是只要涉及变量就得走 setString()、setLong() 这套 API。JDBC 驱动会把参数值转义后安全注入预编译语句占位符位置。错误写法:statement.executeQuery("SELECT * FROM user WHERE id = " + userId)正确写法:ps = conn.prepareStatement("SELECT * FROM user WHERE id = ?"); ps.setLong(1, userId);注意:? 不能用于表名、列名、排序字段(这些属于 SQL 结构),只能用于值;动态表名需靠白名单校验 + 显式枚举MyBatis 用户注意:${} 是字符串替换,等同于拼接;必须改用 #{} 才触发预编译PHP 中 mysqli::prepare() 和 PDO::prepare() 的关键区别两者都支持预编译,但默认行为不同:PDO 默认关闭模拟预处理(PDO::ATTR_EMULATE_PREPARES = false),而 mysqli 在低版本或配置不当可能 fallback 到客户端模拟,失去防护能力。 文心快码 文心快码(Comate)是百度推出的一款AI辅助编程工具
相关推荐
大数据魔法师4 小时前
Streamlit(二十三)- 教程(二)- 动态导航AI人工智能+电脑小能手6 小时前
【大白话说Java面试题 第87题】【Mysql篇】第17题:分布式事务的实现原理?yyuuuzz6 小时前
独立站的技术基础与常见运维问题心中有国也有家7 小时前
GE图引擎深度解析——CANN的计算图优化与执行引擎卷毛的技术笔记8 小时前
告别硬编码!Spring AI Alibaba 实现 AI Agent 智能工具调用(Tool Calling)编程大师哥8 小时前
匿名函数 lambda + 高阶函数vb2008118 小时前
FastAPI APIRouteradrninistrat0r8 小时前
Java调用链MCP分析工具杨充9 小时前
1.3 浮点型数据设计灵魂meilindehuzi_a10 小时前
深入浅出数据结构:Python 字典(Dict)与集合(Set)的哈希表底层全链路追踪