标签: java prepared-statement
我必须创建一个准备好的语句来从MqSQL db中获取数据。
我找不到以preparedstatement方式添加订单的方法.. 在创建preparedstatement之前,我已经在sql字符串中按顺序附加了订单。
preparedstatement
然而,客户端质量工具将此报告为sql注入。因为我们是通过信息(ie.asc / desc)从变量添加订单。
他们有什么选择。你能帮帮我吗? 提前致谢。
答案 0 :(得分:2)
将asc / desc作为参数传递给方法,并在查询字符串中使用它。