为什么PreparedStatement可以防止SQL注入

PreparedStatement会对SQL语句进行预编译,在第一次执行SQL语句前,数据库会对语句进行分析、编译、优化。同时执行计划会被数据库缓存起来,它允许数据库进行做参数化查询。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL语句的一部分,而是作为一个字段的属性值来处理。

MyBatis官方例子:

<select id="selectPerson" parameterType="int" resultType="hashmap">
  SELECT * FROM PERSON WHERE ID = #{id}
</select>

相当于是

String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);

注:在MyBatis解析xml映射文件的时候,就将#{}替换成?。

假设id的值:"'test' or 1=1"

最后执行的语句是(注:这边生成的语句是由druid的日志里面截取出来的)

select * from PERSON where ID = '''test'' or 1=1'

并不能像用${}一样得到所有值。会被转义掉。

;