對 于 JDBC而言， SQL注入 攻 擊 只 對 Statement有效， 對 PreparedStatement 是無效的， 這 是因 為 PreparedStatement 不允 許 在不同的插入 時間 改 變查詢 的 邏輯結(jié) 構(gòu)。 ?
如 驗證 用 戶 是否存在的 SQL語 句 為 ： ?
select count(*) from usertable where name='用 戶 名 ' and pswd='密 碼 '
如果在 用 戶 名字段 中 輸 入 ' or '1'='1' or '1'='1
或是在 密 碼 字段 中 輸 入 1' or '1'='1
將 繞過驗證 ，但 這種 手段只 對 只 對 Statement有效， 對 PreparedStatement 無效。 ?
PreparedStatement 相 對 Statement有以下 優(yōu) 點： ?
1.防注入攻擊 ?
2.多次運行速度快 ?
3.防止數(shù)據(jù)庫緩沖區(qū)溢出 ?
4.代 碼 的可讀性可維護性好

這里不會產(chǎn)生SQL注入，這里的where 1=1永遠(yuǎn)成立，而你擔(dān)心的SQL注入問題是where后面緊跟傳入的參數(shù)或語句，而這里并沒有授予傳參的權(quán)利而是直接寫死1=1。

不會的