1. SQL語句的執行過程——Statement直接執行的弊病： 1) SQL語句和編程語言一樣，僅僅就會普通的文本字符串，首先數據庫引擎無法識別這種文本字符串，而底層的CPU更不理解這些文本字符串（只懂二進制機器指令），因此SQL語句在執行之前肯定需要編譯的； 2) SQL ...

jdbc預編譯可以有兩種方式： 方式一、jdbc自己實現的預編譯，就是做一下特殊字符處理來防SQL注入，看PreparedStatement源碼就可以了。 方式二、利用MySQL的預編譯，。 ...

...

一、事故緣起 今天構造了一個超過 50 多個參數的 SQL 插入語句，在執行的時候提示 Not all parameters were used in the SQL statement，提示「SQL 語句中未使用所有參數」的異常，但是前前后后檢查了 SQL 語句，發現每個參數都是與相應的字段 ...

SQL預編譯中order by后為什么不能參數化原因 一、背景 防sql注入都用參數化的方法，但是有些地方是不能參數化的。比如order by后就不能參數化，她有個同事挖sql注入時找有排序功能需求的位置（比如博客常按時間排序），基本十之六七都能挖到sql注入。 二、不能參數化的根本原因 ...

一、背景 上周五有個朋友說，防sql注入都用參數化的方法，但是有些地方是不能參數化的。比如order by后就不能參數化，她有個同事挖sql注入時找有排序功能需求的位置（比如博客常按時間排序），基本十之六七都能挖到sql注入。 某些地方不能參數化，這個問題在以前面試時有被問過，但回答不上來 ...

PreparedStatement預編譯的SQL可以有效的防止SQL注入，但是有些寫法需要值得注意。 最關鍵的部分在 使用concat可以有效地拼接字符串 ...

在JDBC編程中，常用Statement、PreparedStatement 和 CallableStatement三種方式來執行查詢語句，其中 Statement 用於通用查詢， PreparedStatement 用於執行參數化查詢，而 CallableStatement則是用於存儲過程 ...