日期:2014-05-20  浏览次数:20621 次

JDBC连接MYSQL能不能执行两条语句
我的语句stmt.executeUpdate("insert to product(id) values('"+name+"')";
这句话应该存在漏洞,我输入 aa');delete from user;-- 时,组成 
stmt.executeUpdate("insert to product(id) values('aa');delete from user;-- ')
实验证明不能执行两句话,但在MYSQL的控制终端里执行可以,这是为什么

------解决方案--------------------
在程序里面有个批量执行的语句
用那个吧
因为在程序里是有返回值的
根据返回值来判断语句执行是否成功
所以是在程序里面是分开来处理的
在程序其它会用commit和rollback来控制集体成功还是滚回
------解决方案--------------------
可以,需要在连接字符串后面加上allowMultiQueries=true