package org.west.demo;
import java.sql.*;
// Driver 驱动
public class TestJdbc {
public static void main(String[] args) throws ClassNotFoundException, SQLException {
Class.forName("com.mysql.jdbc.Driver");
Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbcstudy", "root", "123456");
Statement statement = connection.createStatement();
String sql="delete from users where id=2 or 1=1";
statement.execute(sql);
}
}
Statement这个类 是通过拼接字符串的形式 给sql添加语句 这样 我们只需要给他拼接个 or 1=1 这样不管什么情况下 它都是true了 我们就可以访问到了mysql 的所有数据。
为了预防sql注入我们 应多使用
PreparedStatement 这个类。