标签:stat 识别 拼接 src ima span 占位符 问题 log
拼串 (Statement)方式:
1、编译次数多,效率比较低;会出现SQL注入问题(数据安全问题):先传参数再编译
2、Sql文对应的字符串不一样,需要再次编译。
Sql文对应的字符串一样,不会再编译,会从缓存中读取以前编译好的文件发送给数据库。
3、SQL注入问题:拼串的时候把特殊的内容(例如or 1=1)拼接到sql文当中,让它符合我们
的编译规则,在缓存中正常编译,绕过正常验证机制,查询出不应该查询的内容。
占位符 (Prepared Statement)方式:
1、只编译一次,效率比较高;不会出现SQL注入问题(数据安全问题):先编译再传参数
2、当sql文编译好后,如果添加特殊内容(例如or 1=1),发送到数据库后,数据库无法识别特殊内容(例如or 1=1),所以就不会产生sql注入问题了。
标签:stat 识别 拼接 src ima span 占位符 问题 log
原文地址:http://www.cnblogs.com/wbyp/p/6838047.html
