JDBC sql注入 #

jdbc类似于url解析

输入myapp#’ union select 1#

jdbc:mysql://mysqldbserver:3360/myapp#' union select 1#
解析成下面
jdbc:mysql://mysqldbserver:3360/myapp

再代入sql语句

select * from user where name='#' union select 1#' and pwd ='"+pwd+"'

第一个单引号包裹了，#成了字符串，第二个#注释后面