那些遇到过的问题

我可以将包含数据的String与mysql查询连接起来吗?

Kir*_*han 1 java mysql jdbc

我有这个代码部分:

String t = (tname2.getText());
     String h = (value2.getText());

     PreparedStatement ps ;

     if(h.length()>2)
     {
         ps = con.prepareStatement("DELETE FROM "+t+" where empname = "+ h);
         //ps.setString(2,h);
         ps.executeUpdate();
           JOptionPane.showMessageDialog(null, "Record deleted !", "Confirmation", JOptionPane.INFORMATION_MESSAGE);
     }
Run Code Online (Sandbox Code Playgroud)

现在,该线路ps = con.prepareStatement("DELETE FROM "+t+" where empname = "+ h);无效.它的另一种方式是使用"?".如同"Delete * from "+ t +" where empname =?"; 然后设置empname的值.我想知道,如果有一种方法可以使用我的empname与查询的连接来做事情吗?有人可以提供一些提示吗?`

Ye *_*Win 5

将PreparedStatement与参数化查询一起使用并设置值.
这种使用也会阻止SQL注入.
因为将值连接到查询中易受SQL注入攻击.

例如. 

ps = con.prepareStatement("DELETE FROM "+t+" where empname = ?");
psmt.setString(1, h);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1111 次

最近记录:

6 年,4 月 前
相关归档
如何用Spring 3.0表达式语言参数化@Scheduled(fixedDelay)? 116
获取带有Java驱动程序的mongoDB中最后插入的文档的ID 101
从Open ONVIF(网络视频接口论坛)设备录制的问题 89
Java鼠标事件右键单击 82
org.hibernate.MappingException:无法确定类型:java.util.Set 79
JPA映射:"QuerySyntaxException:foobar未映射..." 66
MySQL wait_timeout变量 - GLOBAL vs SESSION 54
从Linux上的NetBeans(Mageia)中的Java应用程序连接到MariaDB 13
使用MySQL Workbench搜索所有表 10
使用 NamedParameterJdbcTemplate 更新数组字段 2
难疑归档
什么是正确的JSON内容类型? 9962
如何在Python中获取当前时间 2618
403 Forbidden vs 401 Unauthorized HTTP响应 2544
删除文件或文件夹 1910
使当前的Git分支成为主分支 1555
.gitignore被Git忽略了 1407
为什么自闭脚本标签不起作用? 1284
最优雅的方法来检查Python中的字符串是否为空? 1282
更改列:null为非null 1177
如何使用$ scope.$ watch和$ scope.$在AngularJS中申请? 1076