jfinal 底层所有的数据库操作全部使用的 PreparedStatement，这个是天然防 sql 的，你还可以为 DruidPlugin 配置一个 WallFilter 进行双重防 sql 注入保护

在 jfinal 中操作数据库，你只避免手动获取 Connection 对象去操作数据库，就能避免注入问题

这种问题 jfinal 早就帮你想好了

@JFinal 谢谢波总指点