private boolean validate(String userName,String userPass)
{
try
{
Class.forName(driver);
conn = DriverManager.getCOnnection(urlmuser,pass);
pstmt = conn.prepareStatement("select * from jdbc_test" + "where jdbc_name=? add jdbc_desc=?"); pstmt.setString(1,userName);
pstmt.setString(2,userPass);
if(pstmt.executeQuery().next())
{
return true;
}
catch(Exception e)
{
r.printStackTrace();
}
finally
{
try
{
if(rs != null)
{
rs.close();
}
if(pstmt != null)
{
pstmt.close();
}
if(conn != null)
{
conn.close();
}
}
catch(Exception e)
{
e.printStackTrace();
}
}
return false;
}
}这是 疯狂java讲义里面的 第650面问题一:请问为什么用prepareStatement这样写就能避免SQL注入?
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货