使用SQL注入错误演示和防止SQL注入

本文针对不理解SQL注入进行讲解，先演示一个SQL注入案例，当sname乱写或者写错的情况下去查询本应该是没有的，但人为拼接'or'a'='a后；可以发现原SQL语句变成了select*fromtb_stuwheresname='曾de皮'or'a'='a'，既然成立了。然后根据问题去使用prepareStatement预编译的方式，先把格式定下来，即使人为拼接'or'a'='a，也只会认为它是一体的不会拆分。