您确实应该将其作为使用参数的预备语句来执行,这样可以使事情变得容易得多,并消除了一些非常简单的SQL注入威胁。
Connection con = ...;PreparedStatement statement = con.prepareStatement("INSERT INTO myTable (NAME, CURRENT_DATE) VALUES ( ?, ?)");statement.setString(1, userName);statement.setDate(2, currentDate );statement.execute();有关如何正确使用准备好的语句的信息很多。例如:http : //www.jdbc-tutorial.com/jdbc-prepared-
statements.htm
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)