示例:更新EMPLOYEES设置NAME ='' EMP123''其中ID = 100;
这里NAME字段由用户交替给出,可以是用户给出带单引号的名称。它显示的错误就像 ORA-00933:SQL命令未正确结束
答案 0 :(得分:0)
PreparedStatement stm = connection.prepareStatement("Update EMPLOYEES set NAME = ? where ID = 100");
stm.setString(1,"EMP123");
System.out.println(stm.executeUpdate()+" Rows has changed");
这应该如何保护你的代码免受sql注入攻击