Prepared Statement是Oracle内置的东西还是Java自身的东西？
怎么用Prepared Statement防止Sql注入？
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://python.cn/pipermail/python-chinese/attachments/20061220/3f6ddbfd/attachment.html 

偶了解有限。PreparedStatement在其他语言和数据库中都是存在的，包括Python也是有的。是一种预编译的SQL语句，其中留下用于填写参数的位置。以后再次使用时，只要向其中填入参数，并执行即可，在执行速度和安全性方面都有很大的提高。
其防止SQL注入是因为SQL语句已经被编译过了，运行时只是添加参数而已，并不涉及字符串的连接操作等等，所以注入也无法实现。

这个概念我在很多其他地方也见过。在Delphi中就是TParameters对象等等。还是很有用的。

-- 
从前有一只很冷的毛毛虫，他想获得一点温暖。而获得温暖的机会只有从树上掉下来，落进别人的领口。
片刻的温暖，之后便失去生命。而很多同类却连这片刻的温暖都没有得到就..
我会得到温暖么？小心翼翼的尝试，却还是会受到伤害。
我愿为那一刻的温暖去拼，可是谁愿意接受?

欢迎访问偶的博客：
http://blog.csdn.net/gashero