50,530
社区成员
发帖
与我相关
我的任务
分享jdbc like 的用法
jdbc 拼接sql语句时为什么like中%不能直接拼接在语句中
而要在PreparedStatement的setString()中加上啊?不明白.......
而要在PreparedStatement的setString()中加上啊?不明白.......
...全文
请发表友善的回复…
发表回复
tnjun123456 2012-01-11
- 打赏
- 举报
汗····看样子我想多了·····
tnjun123456 2012-01-09
- 打赏
- 举报
[Quote=引用 4 楼 wuzongpo 的回复:]
你好,这个PreparedStatement是可以防止sql注入的,里面除了?外的其他符号不允许的,否则报错!
但Statement就是可以的,但Statement容易sql注入
[/Quote]
嗯,谢谢,可以告诉我下,setString里面具体是怎么实现的不?
你好,这个PreparedStatement是可以防止sql注入的,里面除了?外的其他符号不允许的,否则报错!
但Statement就是可以的,但Statement容易sql注入
[/Quote]
嗯,谢谢,可以告诉我下,setString里面具体是怎么实现的不?
tnjun123456 2012-01-09
- 打赏
- 举报
额···是规定···
wuzongpo 2012-01-09
- 打赏
- 举报
你好,这个PreparedStatement是可以防止sql注入的,里面除了?外的其他符号不允许的,否则报错!
但Statement就是可以的,但Statement容易sql注入
但Statement就是可以的,但Statement容易sql注入
BUG弄潮儿 2012-01-09
- 打赏
- 举报
select * from tableName where id like '%Name';
使用statement不行? 不可能吧
使用statement不行? 不可能吧
tnjun123456 2012-01-09
- 打赏
- 举报
沉了,没救了····
tnjun123456 2012-01-09
- 打赏
- 举报
自己顶一下,求解·····
