1. Oracle JDBC char(n)类型数据 使用PrepareStatement参数?查询时,如果查询的字符串的字节长度不为n就查询不出数据
select * from pro where p = ?; -- p 的类型char(10) 传递参数 '分析'两个字符
2. SQL注入
PrepareStatement 防止SQL注入使用的方法 时占位符?实现,而不是通过拼接参数实现
"select name, description, price from product where name = '" + name + "'";使用PrepareStatement依然会可以实现SQL注入