PreparedStatement 防止 SQL 注入原理

前言

  PreparedStatement 对象可以防止 SQL 注入，而 Statement 对象不能防止 SQL 注入，接下来使用一个案例剖析原理。

原理

使用如下代码模拟 SQL 注入

总结

  由最终执行的 SQL 可以看出，PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义，最终传入参数作为一个整体执行，从而防止 SQL 注入，而 Statement 对象不会进行此操作。
  PreparedStatement 可以有效防止 SQL 注入，你应该始终以 PreparedStatement 代替 Statement，也就是说，在任何时候都不要使用 Statement。