setParameter() 方法设置一个样式表参数。
说明:这个方法为指定的样式表参数指定一个值。
语法::setParameter(namespaceURI,localName,value)
可以这么使用。
但容易引出SQL注入漏洞,不推荐使用!
在编程时,都不推荐直接SQL语句的变量参数通过字符串拼接来实现,因为如果被人利用注入漏洞,可以把你的数据库都轻易破解了。
而用setParameter的方法则是安全的,没有注入漏洞,可以放心使用。
设置你的查询参数用的。
比如 "from Customer o where o.name=?1"
setParameter(1,"java");
=====================
可以,但不建议,因为你得注意SQL注入等问题。
这样不用了,setparameter相当于PreparedStatement里面的用法,可以这么理解!
呵呵 如果我在你的 name字段的 输入部分 输入 : admin';he 你的语句就出毛病了
动态参数设置
用户登录
还没有账号?立即注册
用户注册
投稿取消
文章分类: |
|
还能输入300字
上传中....