반응형
다음 문장은 잘못된 SQL을 초래하며, 매개변수가 존재할 경우 SQL Injection의 대상이 된다
INSERT INTO MUSKETEERS(NAME) VALUES('John d' Artagan');
PrepareStatement는 자동적으로 필요할 때마다 스트링을 예외처리한다
Preparestatement psmt = con.prepareStatement("INSERT INTO MUSKETEERS (NAME) VALUES(?) ");
psmt.setString(1,"John d' artagan");
psmt.executeUpadate();
반응형
 |
|
