PreparedStatemen防止SQL注入

1. 不使用PreparedStatement的set方法设置参数（效果跟Statement相似，相当于执行静态SQL）

String param = "'test' or 1=1";
String sql = "select file from file where name = " + param; // 拼接SQL参数
PreparedStatement preparedStatement = connection.prepareStatement(sql);
ResultSet resultSet = preparedStatement.executeQuery();
System.out.println(resultSet.next());

输出结果为true，DB中执行的SQL为

-- 永真条件1=1成为了查询条件的一部分，可以返回所有数据，造成了SQL注入问题
select file from file where name = 'test' or 1=1

2. 使用PreparedStatement的set方法设置参数

String param = "'test' or 1=1";
String sql = "select file from file where name = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, param);
ResultSet resultSet = preparedStatement.executeQuery();
System.out.println(resultSet.next());

输出结果为false，DB中执行的SQL为

select file from file where name = '\'test\' or 1=1'
我们可以看到输出的SQL文是把整个参数用引号包起来，并把参数中的引号作为转义字符，从而避免了参数也作为条件的一部分