?是一个占位符 替代参数位置
数据库中字符串采用单引号 ’ ’
String sql = 'select * from table';
java中是双引号
String sql = "select * from table";
当sql语句中包含问号时表示这个sql语句必须传一个参数,多个参数顺序匹配
绑定参数法
string sql=”select * from table where id>0″+”and name=?”;
还有一种写法直接组成sql语句
string sql=”select * from table where id>0″+”and name='"+username+”'";
但是这种方法存在注入攻击的可能
关于sql注入攻击
比方说登录场景时
用拼接的方式写
String sql = "select * from user where username='"+username+"' and password='"+password+"'";
如果有人这样输入用户名和密码
用户名:admin
密码:123’ or ‘1’ = '1
然后这段代码就会变成
String sql = "select * from user where username='admin' and password='123' or '1' = '1';
就完蛋了
更多推荐
sql语句中的问号
发布评论