什么是SQL注入，JDBC如何防止SQL注入？

因为每个数据库都可能有漏洞，就像系统一样。那么某些人就会针对这些漏洞，写针对性的代码
注入思路是这样；发现SQL注入位置；判断服务器类型和后台数据库类型；确定可执行情况
注入法：
从理论上说，认证网页中会有型如：
select * from admin where username='XXX' and password='YYY' 的语句，若在正式运行此句之前，如果没有进行必要的字符过滤，则很容易实施SQL注入。
如在用户名文本框内输入：abc’ or 1=1-- 在密码框内输入：123 则SQL语句变成：
select * from admin where username='abc’ or 1=1 and password='123’ 不管用户输入任何用户名与密码，此语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

我上边的是粘贴的，没怎么看懂。

防止注入：
对于jsp一般会
如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.

其余的方法有兴趣可以参考这里
http://www.blogjava.net/GavinMiao/archive/2011/08/24/357182.html

SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据。
据统计，网站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。



　　要防御SQL注入，用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反，用户的输入必须进行过滤，或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中，SQL语句就得以修正。然后，用户输入就被限于一个参数。下面是一个使用Java和JDBC API例子：

　　PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE PASSWORD=?")；

　　prep.setString(1, pwd)；