String sql = "SELECT * FROM video WHERE video_id= :x"; pstmt = conn.prepareStatement(sql); pstmt.setString(1, "101"); /**查询*/ resultSet = pstmt.executeQuery(); pstmt.close();你这种拼接的很少见了 如果传入的条件 id= '1 or 1=1 --' 就被sql注入了 ==!特别是登陆验证的时候
LZ你的 String sql = "SELECT * FROM video WHERE video_id='" + id + "'"; 和 String sql = "SELECT * FROM video WHERE video_id='101'";你前面的最后面多了"这个,你可以不用这样的 方式,用?来替代也是可以的啊 到时候可以加入相应的值
pstmt = conn.prepareStatement(sql);
pstmt.setString(1, "101");
/**查询*/
resultSet = pstmt.executeQuery();
pstmt.close();你这种拼接的很少见了 如果传入的条件 id= '1 or 1=1 --' 就被sql注入了 ==!特别是登陆验证的时候
String sql = "SELECT * FROM video WHERE video_id='" + id + "'"; 和
String sql = "SELECT * FROM video WHERE video_id='101'";你前面的最后面多了"这个,你可以不用这样的 方式,用?来替代也是可以的啊
到时候可以加入相应的值