数据库学习笔记(一)

1.Statement 安全漏洞

Statement:  JDBC中与数据库 交互的API。
特点：先拼接sql 在 执行。
安全漏洞： 可注入 逻辑代码 在 sql中。 比如：
SELECT * FROM user WHERE name='lk' AND password = '123'
此时，如果将参数 123 被用户写成  123 or 1=1,  则会出现注入漏洞。

解决办法：
使用 PrepareStatement 代替 Statement。
PrepareStatement  特点： 先写sql,参数用‘？’代替， 后传value，此时的value一律不参与 sql的逻辑。 
注意： '？' 的index 从1开始。