PrepareStatement用于防止SQL注入

  PreparedStatement 更加安全,能够防止sql注入,确保数据安全。 


例如: 
 
  如果用户输入'' or 1=1, 登录验证时查询语句变为select * from user where username='' or 1=1; 依然成立 绕过验证。 


  还有很多sql注入代码~~ 
  PreparedStatement 能够预处理sql语句,防止这种情况,在使用preparestatement时其中的参数必须都为?号。

你可能感兴趣的:(jdbc,PreparedStateme)