我对 Java 很陌生,所以肯定这将是一个愚蠢的问题。
我经常读到,在处理被视为字符串的查询时,必须意识到 SQL 注入的风险。我还读到使用 PreparedStatements 是防止此类风险的好方法,但它们通常与查询中的位置参数一起使用(由问号表示?)。
如果我只有一个没有参数的“常量”查询(即,我没有要在查询中插入的变量),情况如何?我是否仍然需要将表单中的查询传递
"SELECT * from Table where col1 = ? and col2 = ?"
给 PreparedStatement 以防止 SQL 注入?
或者我可以通过
"SELECT * from Table where col1 = 123 and col2 = 'abc'"
吗?
我有这个代码:
public ResultSet mySelectMethod(String query, Connection conn) {
ResultSet rset = null;
try {
PreparedStatement st = conn.PreparedStatement(query); //I am unsure about this assignment
rset = st.executeQuery();
} catch (SQLException e) {
System.out.println(e);
}
return rset;
}
... …