标签:
SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。
statement执行拼接的sql语句,在拼接sql的时候可能会对sql语句产生破坏导致程序执行了恶意的sql代码从而破坏数据安全性。
preparestatement通过参数动态化加载并对sql执行预编译,一方面相对statement提升了执行速度,另一方面通过占位符来替代参数拼接防止sql代码恶意褚篡改。这样就简单的防止了sql注入问题.
标签:
原文地址:http://my.oschina.net/heiyexue/blog/497474