1. 参数化预编译之所以能防御住SQL注入,只要是基于以下2点:
1) setString(): WEB程序接收字符串的场景
将用户输入的参数全部强制转换为字符串,并进行适当的转义,防止了闭合的产生
2) setInt(): WEB程序接收整型的场景
将用户输入的非整型参数强制转换为整型,并去除潜在的"非整型注入字符",类似与PHP中的intVal()防御思路
2. 并不是说使用了参数化预编译方法执行SQL,就不会有注入的发生了,当WEB系统和DataBase系统的字符集配置不当,可能会导致宽字节注入的发生
Java JDBC现在主流的做法是"本地协议驱动",为此,Java需要借助不同厂商提供的数据库驱动(本质上是一个JAR包)来和数据库进行连接
http://www.cnblogs.com/LittleHann/p/3695332.html