對(duì) 于 JDBC而言， SQL注入 攻 擊 只 對(duì) Statement有效， 對(duì) PreparedStatement 是無(wú)效的， 這 是因 為 PreparedStatement 不允 許 在不同的插入 時(shí)間 改 變查詢(xún) 的 邏輯結(jié) 構(gòu)。 ?
如 驗(yàn)證 用 戶(hù) 是否存在的 SQL語(yǔ) 句 為 ： ?
select count(*) from usertable where name='用 戶(hù) 名 ' and pswd='密 碼 '
如果在 用 戶(hù) 名字段 中 輸 入 ' or '1'='1' or '1'='1
或是在 密 碼 字段 中 輸 入 1' or '1'='1
將 繞過(guò)驗(yàn)證 ，但 這種 手段只 對(duì) 只 對(duì) Statement有效， 對(duì) PreparedStatement 無(wú)效。 ?
PreparedStatement 相 對(duì) Statement有以下 優(yōu) 點(diǎn)： ?
1.防注入攻擊 ?
2.多次運(yùn)行速度快 ?
3.防止數(shù)據(jù)庫(kù)緩沖區(qū)溢出 ?
4.代 碼 的可讀性可維護(hù)性好

這里不會(huì)產(chǎn)生SQL注入，這里的where 1=1永遠(yuǎn)成立，而你擔(dān)心的SQL注入問(wèn)題是where后面緊跟傳入的參數(shù)或語(yǔ)句，而這里并沒(méi)有授予傳參的權(quán)利而是直接寫(xiě)死1=1。

不會(huì)的