用您当前的方式构造SQL查询是一个糟糕的主意,因为它为各种SQL注入攻击打开了大门 。为了正确执行此 *** 作,您必须改为使用“
预备语句”。这也将解决您目前显然遇到的各种逃避问题。
PreparedStatement statement = connection.prepareStatement("select * from myDatabase.myTable where name = ?"); statement.setString(1, name); ResultSet resultSet = statement.executeQuery();
请注意,这
prepareStatement()是一个昂贵的调用(除非您的应用程序服务器使用语句缓存和其他类似的功能)。从理论上讲,最好先准备一次语句,然后多次重用(尽管
不能 同时使用):
String[] names = new String[] {"Isaac", "Hello"};PreparedStatement statement = connection.prepareStatement("select * from myDatabase.myTable where name = ?");for (String name: names) { statement.setString(1, name); ResultSet resultSet = statement.executeQuery(); ... ... statement.clearParameters();}
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)