用PreparedStatement的问号可以防止sql注入

而且用问号那种形式只能用PreparedStatement

而Statement是用'"++"'这种形式的

sql = "SELECT username FROM dzjc_yhmc WHERE username=? and pwd=?" ;
  try
  {   
   pstmt = dbc.getConnection().prepareStatement(sql) ;

   // 设置pstmt的内容,是按ID和密码验证
   pstmt.setString(1,ulf.getUserName()) ;
   pstmt.setString(2,ulf.getPassWord()) ;

 

黑色头发  http://heisetoufa.iteye.com

如果发现本文有误,欢迎批评指正