xuhang1128 2011-05-03 15:36
浏览 322
已采纳

请问一个jdbc prepareStatement的问题,关于sql中in的

querySql = " select to_number(param_value) from award_sys_para where param_code in (?) ";
pstmt  = reportConn.prepareStatement(querySql);
String s = "'20002','20001','20000'";

pstmt.setString(1, s);
上面会报错, ORA-01722: 无效数字,我不想用in(?,?,?)这种形式,因为可能有100多个?,只希望有一个?,然后直接设进去,可是报错,不知道该如何解决

还有我听说程序里面in后面带的参数过唱好像有问题的,不知道是不是啊

  • 写回答

6条回答 默认 最新

  • weixin_42317583 2011-05-03 17:18
    关注

    String s = "20002,20001,20000";
    querySql = " select to_number(param_value) from award_sys_para where param_code in ("+s+") ";
    pstmt = reportConn.prepareStatement(querySql);

    手工检验下s防止注入就好了

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(5条)

报告相同问题?

悬赏问题

  • ¥15 metadata提取的PDF元数据,如何转换为一个Excel
  • ¥15 关于arduino编程toCharArray()函数的使用
  • ¥100 vc++混合CEF采用CLR方式编译报错
  • ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
  • ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
  • ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同
  • ¥50 如何openEuler 22.03上安装配置drbd
  • ¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
  • ¥15 无线连接树莓派,无法执行update,如何解决?(相关搜索:软件下载)
  • ¥15 Windows11, backspace, enter, space键失灵