Chinaunix首页 | 论坛 | 博客
  • 博客访问: 30480123
  • 博文数量: 708
  • 博客积分: 12163
  • 博客等级: 上将
  • 技术积分: 8240
  • 用 户 组: 普通用户
  • 注册时间: 2007-12-04 20:59
文章分类

全部博文(708)

分类: Java

2008-04-14 13:44:56

用PreparedStatement的问号可以防止sql注入

而且用问号那种形式只能用PreparedStatement

而Statement是用'"++"'这种形式的

sql = "SELECT username FROM dzjc_yhmc WHERE username=? and pwd=?" ;
  try
  {   
   pstmt = dbc.getConnection().prepareStatement(sql) ;

   // 设置pstmt的内容,是按ID和密码验证
   pstmt.setString(1,ulf.getUserName()) ;
   pstmt.setString(2,ulf.getPassWord()) ;

阅读(1785) | 评论(0) | 转发(0) |
0

上一篇:杀死脚本错误

下一篇:Struts标签库-另一篇

给主人留下些什么吧!~~