我遇到了一个问题，它会导致sql注入到sql server，但是在那里写的一条评论说，sql server的jdbc驱动程序会在使用prepared语句的setstring（）函数时截断字符串，因为它会将字符串转换为sql\ u char。这似乎是一个真正的问题，但我不确定它是否存在。
是否有人知道任何官方文件，说明了这个问题，他们什么时候已经修复，因为哪个版本？

更新

他用这种古老而危险的方法来做

String sql = "INSERT INTO TABLE(field1, field2) VALUES('" + val1 + "','" + val2 +"')";

val1和val2将表示长度大于254的长字符串。但这不是我想问的。