标签: java mysql sql jdbc code-injection
在我的项目中,我必须根据传递的表创建插入语句。 所以我有两个选择 1)编写准备好的报表并批量运行 2)在表值(..),(..),(..)
如果我使用Matcher.quoteReplacement()来转义值,我想知道更喜欢(1)而不是(2)的原因
提前致谢
答案 0 :(得分:3)
Matcher.quoteReplacement不是为了引用SQL字符串,因此您不能确定使用它来避免SQL插入。但即使你有一个有效的引用功能,准备好的陈述仍然会有更好的原因有几个原因:
Matcher.quoteReplacement