现在做的这个查询时模糊查询,在前端页面查询输入框中输入“%”,查询出所有数据,输入“'”后台就报错了,以前没有这样试过,谁知道jdbc preparedstatement允许输入的查询字符有哪些?有点纠结……
jdbc preparedstatement允许输入的查询字符有哪些?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
weixin_42622339 2013-12-04 13:16关注典型的SQL注入问题,不要用+去拼SQL的条件,用查询变量?去做查询条件
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决评论 打赏无用 1举报 分享
- 2013-12-03 15:02回答 2 已采纳 典型的SQL注入问题,不要用+去拼SQL的条件,用查询变量?去做查询条件
- 2020-12-28 11:46回答 1 已采纳 这么写自然会按照人家的格式进行变量替换啊,string类型的必然给你加单引啊。直接拼到 sqlQueryBy里不就完事了。如果不能这么干,了解下框架写法,看看有没有不自动类型匹配的,比如像mybati
- 2009-07-10 14:54回答 5 已采纳 引用这里的处理,http://gufenglian.iteye.com/blog/353654 [quote] 问题肯定就出在这个问号上,但是想象设置参数不就是用问号吗 仔细观察,发现这里把
- 2013-06-09 11:45奋斗的兔儿的博客 PreparedStatement 是预编译 ,使用Statement时 sql 中要进行很多的单引号拼接字符串,首先是容易出错也比较麻烦,还有就是存在sql 注入问题这是从安全方面说的。 PreparedStatement 传参数时候用 了占位符 “?”很...
- 2020-04-16 17:12回答 2 已采纳 建议就不要用?了,直接拼字符串。一般?用在where条件的,而且直接“selecct * from websites where id=?”,不用拼接的。 如果多个筛选值建议先StringBuild
- 2016-10-16 18:07回答 4 已采纳 你输出看下connection 是不是null, 看你报错的地方,获得的connection应该是空的
- 2016-11-28 14:06回答 4 已采纳 应该不是。感觉是statement.setString(1, bookName);这一块前后出问题了。
- 2021-11-26 10:31zj152948的博客 PreparedStatement对象代表的是一个预编译的SQL语句。用它提供的setter方法可以传入查询的变量。由于PreparedStatement是...由于PreparedStatement自动对特殊字符转义,避免了SQL注入攻击,因此应当尽量的使用它。 ...
- 2017-09-04 07:38回答 3 已采纳 ``` 给你一个自己写的例子,实现bean转成JSONPObject,并输出JSONPObject的内容 public class JsonTest { public static
- 2021-07-01 12:10回答 3 已采纳 你这代码有点乱,要不要私信发我 我给你看一下
- 2016-02-17 15:36回答 6 已采纳 检查你的数据库的表怎么定义的,比如学号列的长度如果是2个字符(nvarchar(2)),而你试图插入005,就会报错,别的同理。 ps.setString(2, jtf1.getText());
- 2019-03-18 10:34MessageZpp的博客 我们经常会有这种业务需求,根据一个条件集合去查询一张表的数据,比如: select*fromall_element twheret.task_idin(List<taskids>); 在java语言中,我们需要用到JDBC来和数据库打交道,那么在JDBC中...
- 2009-12-12 19:56回答 4 已采纳 问题补充: 谢谢geeksun的帮忙,Sql的共享我想肯定是支持多表的。 至于高速缓存应该讲的是结果的缓存。 但是你对PreparedStatement的观点我认为是不对的。 因为这个对象肯定是在
- 2021-08-25 14:38重庆千锋的博客 PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询,PreparedStatement 用于执行参数化查询,...
- 2021-10-11 19:19刘顺顺_的博客 文章目录JDBC的PreparedStatement是什么?相对于Statement,PreparedStatement的优点是什么? JDBC的PreparedStatement是什么? PreparedStatement对象代表的是一个预编译的SQL语句。 用它提供的setter方法可以传入...
- 没有解决我的问题, 去提问
悬赏问题
- ¥100 任意维数的K均值聚类
- ¥15 stamps做sbas-insar,时序沉降图怎么画
- ¥15 unity第一人称射击小游戏,有demo,在原脚本的基础上进行修改以达到要求
- ¥15 买了个传感器,根据商家发的代码和步骤使用但是代码报错了不会改,有没有人可以看看
- ¥15 关于#Java#的问题,如何解决?
- ¥15 加热介质是液体,换热器壳侧导热系数和总的导热系数怎么算
- ¥100 嵌入式系统基于PIC16F882和热敏电阻的数字温度计
- ¥15 cmd cl 0x000007b
- ¥20 BAPI_PR_CHANGE how to add account assignment information for service line
- ¥500 火焰左右视图、视差(基于双目相机)