我们通常情况下,防止在输入框中输入SQL的关键字。
采取的办法:
参数化的sql语句
String sql = "Select * "+ "From userinfo "+ "Where username = ? and userpwd = ? ";//?表示一个占位符 //构建参数化的命令对象 PreparedStatement pstm = con.prepareStatement(sql); //需要给参数赋值 pstm.setString(1, strName); pstm.setString(2, strPwd); //获取从数据库表得到的查询数据,存放在类似于数据表的内存中 ResultSet rowSet = pstm.executeQuery(); |