如何避免java中的单引号问题来创建准备好的statment查询

时间:2017-03-27 05:41:48

标签: java hibernate prepared-statement

示例:更新EMPLOYEES设置NAME ='' EMP123''其中ID = 100;

这里NAME字段由用户交替给出,可以是用户给出带单引号的名称。它显示的错误就像 ORA-00933:SQL命令未正确结束

1 个答案:

答案 0 :(得分:0)

PreparedStatement stm = connection.prepareStatement("Update EMPLOYEES set NAME = ? where ID = 100");    
stm.setString(1,"EMP123");
System.out.println(stm.executeUpdate()+" Rows has changed");

这应该如何保护你的代码免受sql注入攻击