2.10

今天深入学习了Java Web开发中的安全性方面的知识。其中，防止SQL注入攻击是非常重要的。
在使用JDBC或者其他数据库操作时，如果直接将用户输入的内容拼接到SQL语句中，就可能会被利用进行SQL注入攻击。例如，一个不安全的登录查询可能是这样：
String username = request.getParameter("username");
String password = request.getParameter("password");
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
为了防止SQL注入，可以使用预编译语句。例如，使用JDBC的PreparedStatement：
String username = request.getParameter("username");
String password = request.getParameter("password");
String sql = "SELECT * FROM users WHERE username =? AND password =?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setString(1, username);
ps.setString(2, password);
这样，用户输入的内容会被当作参数处理，而不是直接拼接到SQL语句中，从而提高了安全性。