預編譯為什麼可以防止sql注入

預先編譯可以防止sql注入的原因：進行預編譯之後，sql語句已經被資料庫分析，編譯和最佳化了，並且允許資料庫以參數化的形式進行查詢，所以即使有敏感字元資料庫也會當做屬性值來處理而不是sql指令了

大家都知道，java中JDBC中，有個預處理功能，這個功能一大優點就是能提高執行速度尤其是多次操作資料庫的情況，再一個優勢就是預防SQL注入，嚴格的說，應該是預防絕大多數的SQL注入。

用法就是如下邊所示：

String sql="update cz_zj_directpayment dp"+
 "set dp.projectid = ? where dp.payid= ?";
try {
PreparedStatement pset_f = conn.prepareStatement(sql);
pset_f.setString(1,inds[j]);
pset_f.setString(2,id);
pset_f.executeUpdate(sql_update);
}catch(Exception e){
//e.printStackTrace();
logger.error(e.message());
}

那為什麼它這樣處理就能預防SQL注入提高安全性呢？其實是因為SQL語句在程式運行前已經進行了預編譯，在程式運行時第一次操作資料庫之前，SQL語句已經被資料庫分析，編譯和最佳化，對應的執行計劃也會快取下來並允許資料庫以參數化的形式進行查詢，當運行時動態地把參數傳給PreprareStatement時，即使參數裡有敏感字符如or '1=1'也數據庫會作為一個參數一個字段的屬性值來處理而不會作為一個SQL指令，如此，就起到了SQL注入的作用了！

以上是預編譯為什麼可以防止sql注入的詳細內容。更多資訊請關注PHP中文網其他相關文章！