jdbcTemplate.queryForList 如何防止SQL注入

jdbcTemplate.queryForList方法可以通过使用预编译的SQL语句来防止SQL注入。预编译SQL语句是指在执行SQL语句之前，将SQL语句中的参数占位符替换为实际的参数值，并将其发送到数据库进行编译和优化。这样可以避免恶意用户输入的参数值对SQL语句造成影响。 具体实现方式如下： 1. 在SQL语句中使用占位符（?）代替参数值。 2. 使用jdbcTemplate对象的queryForList方法时，将SQL语句和参数值分开传递给该方法。 3. jdbcTemplate对象会自动将SQL语句和参数值组合成一个预编译的SQL语句，并发送给数据库执行。 4. 数据库会将预编译的SQL语句进行编译和优化，然后执行查询操作。 5. 查询结果会以List>的形式返回给调用者。 示例代码如下： ``` String sql = "SELECT * FROM user WHERE username = ?"; List> userList = jdbcTemplate.queryForList(sql, new Object[]{username}); ``` 在上述代码中，使用了占位符（?）代替了参数值，并将SQL语句和参数值分开传递给了queryForList方法。这样就可以避免SQL注入攻击。