sql注入是指通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串中,最终达到欺骗服务器执行的恶意SQL命令
例子:
statement : 会引起sql注入 不安全
因为:statement的sql语句是用拼接:select * from user where username =
’ " + username+ " ’ and userpass = ’ " +password+ " ; 会把内容直接替换
sql注入:输入’ or ’ ’ = ’ 会拼接到sql语句里,形成userpass = ’ or ’ ’ = ’ 返回true
preparestatement 比较安全