mysql怎么防止sql注入

1、SQL注入攻击的总体思路：寻找到SQL注入的位置,判断服务器类型和后台数据库类型,针对不通的服务器和数据库特点进行SQL注入攻击。

2、SQL注入攻击实例，比如在一个登录界面，要求输入用户名和密码：可以这样输入实现免帐号登录：用户名： ‘or 1 = 1 –密 码：点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)。

3、下面我们分析一下：从理论上说，后台认证程序中会有如下的SQL语句：String sql = "select 忮氽阝另* from user_table where username=' "+userName+" ' and password=' "+password+" '";

4、当输入了上面的用户名和密码，上面的SQL语句变成：SELECT * FROM user_table WHERE username='’or 1 = 1 -- and password='’

5、分析SQL语句：条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功；然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

6、这还是比较温柔的，如果是执行SELECT * FROM user_table WHEREusername='' ;DROP DATABAS呶蓟鹭毵E (DB Name) --' and password=''….其后果可想而知…

7、应对方法下面我针对JSP，说一下应对方法：（简单又有效的方法）PreparedStatement采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。

8、使用好处：代码的可读性和可维护性.PreparedStatement尽最大可能提高性能。最重要的一点是极大地提高了安全性.