如何避免SQL注入（一文弄懂SQL注入与它的解决办法）

最近学习到了SQL注入，也就是利用现有应用程序，将恶意的SQL命令注入到后台数据库引擎，最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢，下面博主对自己的学习结果进行总结与大家分享。

一，SQL注入：

1. 是什么

就是利用现有应用程序，将恶意的SQL命令注入到后台数据库引擎，最终达到欺骗服务器执行恶意的SQL命令。

它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

2. 语句

假如现在登录账号：admin； 密码：abc

一般正常的，在Java中写SQL语句的方式如下：

String sql="select * from users where  username= 'admin'  and password= 'abc'";

而在SQL注入恶意的SQL语句如下：

String username ="admin";
String password="  ' ' or 1=1 ";
String sql="select * from users where  username= '"+username+"'  and password="+password;

解释：通过这样写，数据库执行时就会理解为：

String sql="select * from users where username= 'admin'  and password=  " or 1=1;

在数据库语句中，where后面使用or满足其一即可，很显然1=1是正确的，那么这样就能做到在不知晓账号和密码的前提下仍可以执行。

3. 如何解决

如何解决SQL注入呢，那么就不得不提到PreparedStatement（预状态通道）了。

二，PreparedStatement

PreparedStatement（预状态通道）是Statement（状态通道）接口的扩展，所有它同样是接口，用法和Statement一模一样。只是预状态通道的功能更强大，它可以实现动态的提供参数；

预状态通道通过实现动态