DBとフレームワーク側の文字コードが違うと、PreparedStatementを使っていてもSQLインジェクションが発生しちまったよorz
あ、ちなみにフレームワーク側Unicodeで、DB側S-JISって奴での検証ね。
逆の場合、どうなるか試してみる価値があるかなぁ?
というわけで、PreparedStatementも万能じゃないということで･･･
やっぱり文字コードは一緒にしましょう。
そうだ、あの文書も直さないと･･･
というかちと追加してみた。

実証はTomcatとMySQLでやっているので、MySQLのJDBCドライバの問題の可能性が高いなぁ。