本文共 283 字，大约阅读时间需要 1 分钟。

在进行SQL注入攻击时，如果需要构建动态的SELECT语句，通常需要使用Statement类来拼接SQL命令。然而，Statement类在处理参数化查询时可能存在安全隐患，因为它会将参数直接拼接到查询中。如果没有正确处理的话，可能会导致统计错误。

与之相对，PreparedStatement类提供了更安全的方法。因为其使用问号作为参数占位符，参数类型会被独立处理。这意味着当我们使用DESC附加到参数占位符时，不会直接污染原有的SQL语句。

因此，在实际应用中，应优先使用PreparedStatement类来执行动态查询，既能保证安全性，也能提高代码的可维护性。

转载地址：http://uogjz.baihongyu.com/