Olá, gostaria que vcs me dessem algumas explicações importantes sobre o pq não é possível fazer SQL Injection com uma aplicação que use a classe PreparedStatement para fazer consultas ao banco de dados…Ja andei lendo mtos artigos na net, mas nenhum deles n explica direito o pq não é possivel, tipo, o que essa classe faz q impede esse tipo de ataque…Se alguem puder colaborar com suas explicações, agradeço…Creio q isso vai ser importante pra mta gente!!! Abraços!!!
http://www.guj.com.br/posts/list/39810.java#212370
No site do Fernando Lozano tem uma apresentação sobre segurança que ele explica justamente isso.
Explicação muito boa: http://www.ebcvg.com/articles.php?id=210