运行Java web项目时出现问题:com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: Unknown column 'name' in 'where clause'查看了一下,硬说是这里出现错误:ResultSet rs = DBconn.selectSql("select * from police_user where name='"+name+"' and pwd='"+pwd+"'");这里到底哪里出错了啊?看网上都是说字段name没有加“”号,但是我明明加了啊??
2 回答
白板的微信
TA贡献1883条经验 获得超3个赞
补充一下,对于有参数的SQL语句,最好不要将参数拼接在SQL中,容易出现关键字冲突或者SQL注入风险
建议用占位符通过PreparedStatement对象对占位符设置参数并执行参数,这样PreparedStatement会自动对处理特殊字符进行转义,就不存在SQL语法这种问题啦。
添加回答
举报
0/150
提交
取消