简单点理解:prepareStatement会形成参数化的查询,例如:
1
select * from A where tablename.id = ?
传入参数'1;select * from B'如果不经过prepareStatement,会形成下面语句:
1
select * from A where tablename.id = 1;select * from B
这样等于两次执行,但如果经过预处理,会是这样:
1
select * from A where tablename.id = '1;select * from B'
'1;select * from B'只是一个参数,不会改变原来的语法
为什么说Mysql预处理可以防止SQL注入
免责声明!
本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。