系统实现时,对用户的登录判断所用的动态SQL语句如下: “SELECT* FROM Users WHERE UserName=‘”+strUserName+“‘AND Password=‘”+ strPassword+“’;” 该SQL语句是否能防止SQL注入?请设计一个测试用例,以测试SQL注入,并说明防止SQL注入的方法。这是2011年软件评测师中的一道题目
2019-04-20
系统实现时,对用户的登录判断所用的动态SQL语句如下: “SELECT* FROM Users WHERE User_Name=‘”+strUserName+“‘AND Password=‘”+ strPassword+“’;” 该SQL语句是否能防止SQL注入?请设计一个测试用例,以测试SQL注入,并说明防止SQL注入的方法。这是2011年软件评测师中的一道题目
优质解答
使用prepareStatement,可以避免SQL注入。
SQL语句可以修改为:select * from users where user_name = :username and password = :password.
使用prepareStatement,可以避免SQL注入。
SQL语句可以修改为:select * from users where user_name = :username and password = :password.