一.什么是SQL注入问题？

在刚开始学习JDBC的六大步骤中其中我们在第三步（获取数据库操作对象）我们通常会执行以下操作：
要执行SQL语句，首先需要获得java.sql.Statement实例
执行静态SQL语句。通常通过Statement实例实现。

Statement stmt = conn.createStatement() ;

但是这样会出现一个很大的纰漏，这个纰漏会导致一系列的安全问题，这就被称为SQL注入问题

二.SQL注入实例

例如我后台的sql语句为

"select * from s_student where loginName = '"+loginName+"' and loginPwd = '"+loginPwd+"'";

然后我随便输入一个用户名，但是只要密码输入的有讲究点

loginName = fasd;
loginPwd = fasd' or '1'='1;

因为1=1这条语句是一个永真式，且逻辑连接词使用的or，这样一来无论前面是什么loginPwd这个值一定为1，这样就将前面select语句的where条件恒为1，就相当于将前面的select语句给废了。

String Sql="select * from s_student where loginName = '"+fasd+"' and loginPwd = '"+fasd' or '1'='1+"'";

这样子我们可以绕过登录，去做一些危害网站的事情。

三.SQL注入的根本原因

其实发生SQL注入的根本原因并非是我们编写了loginPwd = fasd’ or ‘1’=‘1这条语句，究其根本是因为fasd’ or ‘1’='1这条语句被当作了sql语句的一部分被编译进去了

rs = stam.executeQuery(sql);

程序在执行到上面这行语句时，会将sql语句发送给DBMS（数据库管理系统），然后DBMS会将sql语句进行编译，但此时已经晚了，因为此时用户已经将一些非法语句拼接进了sql语句当中去，这样就会发生SQL注入。

四.如何解决SQL注入的问题？

我们可以利用正则表达式来防止用户输入一些非法字符，例如（‘=’，‘or’等）

在JDBC中，使用Statement的子类PreparedStatement进行预编译

我们可以事先将sql语句传入PreparedStatement中，将要传入到sql语句中的参数使用?(占位符)来代替，那么该sql语句就会进行预编译，之后将获取的参数通过PreparedStatement中的set（类型）方法传入编译后的sql语句中，这样sql语句就会先被编译再进行传值，用户输入的信息不会直接参与到sql语句的编译当中，就防止了sql注入的问题

 ps = conn.prepareStatement("select * from s_student where name = ? and password = ?");
    //一个问号表示一个占位符将来接收一个值
    ps.setString(1,loginName);
    ps.setString(2,loginPwd);
    rs = ps.executeQuery();

注：参考来源