防止jdbc填充sql insert和update上的字符串

防止JDBC填充SQL INSERT和UPDATE上的字符串，可以使用预编译语句（PreparedStatement）来避免SQL注入攻击。

预编译语句是一种将SQL语句模板预先编译好，然后在执行时填充参数的方式。这种方式可以确保SQL语句中的参数不会被解释为SQL代码，从而避免SQL注入攻击。

以下是使用预编译语句的示例代码：

String sql = "INSERT INTO users (username, password) VALUES (?, ?)";
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, password);
pstmt.executeUpdate();

在这个示例中，我们使用了占位符 ? 来代替实际的参数值。然后，我们使用 setString 方法来设置参数的值。这样，JDBC驱动程序就会确保参数值不会被解释为SQL代码，从而避免了SQL注入攻击。

同样的，对于UPDATE语句也可以使用预编译语句来防止SQL注入攻击。

推荐的腾讯云相关产品：

• 腾讯云数据库MySQL：一个高可用、高性能的关系型数据库服务，支持一键部署、自动备份和自动扩容等功能。
• 腾讯云数据库PostgreSQL：一个高可用、高性能的关系型数据库服务，支持一键部署、自动备份和自动扩容等功能。
• 腾讯云数据库MongoDB：一个高可用、高性能的非关系型数据库服务，支持一键部署、自动备份和自动扩容等功能。
• 腾讯云数据库Redis：一个高可用、高性能的内存数据库服务，支持一键部署、自动备份和自动扩容等功能。

这些产品都支持预编译语句来防止SQL注入攻击。