Java中SQL语句占位符的使用

Java中SQL语句占位符的使用

使用占位符的好处

在SQL语句中使用?来代替具体的数值，可除去繁琐的字符串拼接操作，且可避免SQL注入的风险

String sql="SELECT * FROM user_login WHERE user_password=? AND (user_name=? OR user_telNumber=?)";

调用prepareStatement的setString方法，第一个参数是占位符的位置，第二个参数为值

此处注意一个坑

若使用resultSet = preparedStatement.executeQuery(sql)会抛出异常 Java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corres 应使用不带参数的executeQuery方法，即resultSet = preparedStatement.executeQuery()

---

完整代码 String sql="SELECT * FROM user_login WHERE user_password=? AND (user_name=? OR user_telNumber=?)"; PreparedStatement preparedStatement = connection.prepareStatement(sql); preparedStatement.setString(1,password); preparedStatement.setString(2,username); preparedStatement.setString(3,username); ResultSet resultSet = preparedStatement.executeQuery(); if(resultSet.next()){ //Your code }else{ //Your code }