您需要使用PreparedStatement。例如
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";PreparedStatement ps = connection.prepareStatement(insert);ps.setString(1, name);ps.setString(2, addre);ps.setString(3, email);ResultSet rs = ps.executeQuery();
这样可以防止注入攻击。
黑客将其放入其中的方式是,如果您要插入的字符串来自某个地方的输入-例如,网页上的输入字段,或应用程序或类似表格中的输入字段。
