1.数据库jdbc连接利用preparedstatement,因为sql是编译好的
类似于1 or 1=1 只会被当做一个字段。
2.利用stringescapeutils工具类,这个可以将字符串解析和泛解析。支持xml json sql html等。
1.数据库jdbc连接利用preparedstatement,因为sql是编译好的
类似于1 or 1=1 只会被当做一个字段。
2.利用stringescapeutils工具类,这个可以将字符串解析和泛解析。支持xml json sql html等。