PreparedStatement可重复使用,提高效率;另外还可防止注入攻击,例如用户登录的时候查询SQL拼装语句为:
String sql = "select * from tb_user where name = '" + username + "' and passwd = '" + password + "'";
假如程序中没有进行必要的输入合法性检测,别有用心的人在用户名栏输入:abc' or '1'='1,在密码栏输入:123,则拼装后的SQL语句为:select * from tb_user where name = 'abc' or '1'='1' and passwd = '123',则此语句永远都能正确执行,从而实现注入方式攻击。如果使用PreparedStatement,则会将输入的内容全部解析为字符串,而不会出现此漏洞。
String sql = "select * from tb_user where name = ? and passwd = ?";
String sql = "select * from tb_user where name = '" + username + "' and passwd = '" + password + "'";
假如程序中没有进行必要的输入合法性检测,别有用心的人在用户名栏输入:abc' or '1'='1,在密码栏输入:123,则拼装后的SQL语句为:select * from tb_user where name = 'abc' or '1'='1' and passwd = '123',则此语句永远都能正确执行,从而实现注入方式攻击。如果使用PreparedStatement,则会将输入的内容全部解析为字符串,而不会出现此漏洞。
String sql = "select * from tb_user where name = ? and passwd = ?";