我们可以在预处理语句中的占位符字符串中添加“where”等查询命令。例如:
String name = "1";
String sql = "select * from Emp ?";
PreparedStatement stmt=con.prepareStatement(sql);
String namefake="where Emp_id="+name;
stmt.setString(1, namefake);
ResultSet rs=stmt.executeQuery(sql);
如果没有,是否有任何方法可以在预准备语句中执行sql注入。