在Java中防止SQL注入攻击的方法是参数化查询,即使用PreparedStatement代替Statement
参考:
http://www.cnblogs.com/LoveJenny/archive/2013/01/15/2860553.html
目前的理解:
PrepareStatement可以使得在SQL中实现的查询是参数化的,sql语句的格式已经事先设定好,并常驻内存(这同时也实现了高效),当用户传入参数时,会有检查机制使得只有符合语法的参数参数才有效。
原文:http://www.cnblogs.com/ivywenyuan/p/4845628.html