在以下代码中阻止SQL注入的最佳方法是什么:
Class.forName(driver).newInstance();
conn = DriverManager.getConnection(ConnectionUrl+DBName,Username,Password);
query = "SELECT * FROM DealerUser du where " +
"du.Username = '"+ userName +"' and du.Password = '"+password+"'and " +
"du.DealerId in (Select d.ID from Dealer d where d.IsSystemDealer = true);";
Statement statement = conn.createStatement();
ResultSet dealer = statement.executeQuery(query);
我试过阅读一些博客,但没有得到这些变种。只需要一些方向。
答案 0 :(得分:-1)
使用UserName和Password的参数?
(正如评论者刚刚补充的那样,准备好的陈述。)