81,095
社区成员
发帖
与我相关
我的任务
分享JSP如何写带变量的查询语句
我在两个页面中传递了个字符串,写了个 String query = "select * from tb_news where title='"+txt+"'"; 为什么查询不到,如果直接写 "select * from tb_news where title='hi'"就能查询到title为hi的条目,为什么换成变量之后就查不到了呢,是我写错了吗?
...全文
请发表友善的回复…
发表回复
sencerity 2012-06-23
- 打赏
- 举报
1,查看这个变量的值是否是hi
2,不要用这样的查询方面,很容易遭到sql注入攻击
3,QQ1543150073 一起学习
2,不要用这样的查询方面,很容易遭到sql注入攻击
3,QQ1543150073 一起学习
zhouxy123 2012-06-23
- 打赏
- 举报
[Quote=引用 3 楼 的回复:]
1,查看这个变量的值是否是hi
2,不要用这样的查询方面,很容易遭到sql注入攻击
3,QQ1543150073 一起学习
[/Quote]
恩,有sql注入
1,查看这个变量的值是否是hi
2,不要用这样的查询方面,很容易遭到sql注入攻击
3,QQ1543150073 一起学习
[/Quote]
恩,有sql注入
代号裤子 2012-06-23
- 打赏
- 举报
如果是jsp页面的 java脚本 就用 out.print 测试
代号裤子 2012-06-23
- 打赏
- 举报
System.out.println( "select * from tb_news where title='"+txt+"'");
看控制台输出是否为select * from tb_news where title='hi'
看控制台输出是否为select * from tb_news where title='hi'
夜空中苦逼的程序员 2012-06-22
- 打赏
- 举报
楼主 txt 里面的值有问题 ~~完毕~~
wang7535067 2012-06-22
- 打赏
- 举报
不喜欢用这种查询方法,建议用预处理的方法。
写法没有错,可能是获取值有问题,
写法没有错,可能是获取值有问题,
