只需使用
PreparedStatement而不是
Statement.
即使用
String sql = "INSERT INTO tbl (col1,col2,col3) VALUES (?,?,?)";
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1,col1);
preparedStatement.setString(2,col2);
preparedStatement.setString(3,col3);
preparedStatement.executeUpdate();
代替
String sql = "INSERT INTO tbl (col1,col3) VALUES ('" + col1 + "','" + col2 + "','" + col3 + "')";
statement = connection.createStatement();
statement.executeUpdate(sql);
PreparedStatement还为其他类型提供了方便的setter方法,如setInt(),setDate(),setBinaryStream()等.
请注意,此问题与JSP无关.它与Java有关.在JSP类中编写原始Java代码也被认为是poor practice.最佳做法是创建一个独立类,它在特定的表上执行所有的数据库交互任务,也称为DAO(数据访问对象)类.然后,您可以在servlet类中导入/使用此DAO类.
也可以看看: