java – 哪一个更安全的SQL注入-namedParameterJdbcTemplate或SimpleJdbcTemplate？

SQL注入哪一个是安全的：NamedParameterJdbcTemplate还是SimpleJdbcTemplate？

例如,

String sql = "insert into db_table (associateid,comment) values(:associateId,:comments)";
Map<String, Object> paramMap = new HashMap<String, Object>();
paramMap.put("associateId", "12345");
paramMap.put("comments", "some comments");
int rowNumber = readTemplate.update(sql, paramMap);

要么

String sql = "insert into db_table (associateid,comment) values(?,?)";
int rowNumber = readTemplate.update(sql,new Object[] {"comments","some comments"} );

第一个使用NamedParameterJdbcTemplate,而第二个使用SimpleJdbcTemplate.
在某些网站中,它的给定与两者相同,在其他一些网站中,NamedParameterJdbcTemplate是安全的.
任何人都可以清除我的怀疑吗？

解决方法:

两者都使用Preparedstatements来执行查询.这些是防止SQL注入的东西.因此,SQL注入没有区别.

但是,如果您查看SimpleJdbcTemplate的文档：

Deprecated.
since Spring 3.1
in favor of JdbcTemplate and NamedParameterJdbcTemplate. The JdbcTemplate and NamedParameterJdbcTemplate now provide all the functionality of the SimpleJdbcTemplate.

所以你应该使用NamedParameterJdbcTemplate,因为它没有被删除. (遗留代码可能仍会使用它)