SQL注入(英语:SQL injection),是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。
java可以使用PreparedStatement对象解决SQL注入问题,PreparedStatement会将传进来的参数当作字符,如果其中存在转义字符,比如 ‘ ,则会被忽略掉
详细解释可参看此博文:https://segmentfault.com/a/1190000007520556