您将不得不使用多个准备好的语句,或者只是在运行时创建一条语句,检查您拥有哪些参数。
像这样:
String query = "SELECt * FROM table WHERe id=?";if( nameParameter != null ) { query += " AND name=?"; //don't never ever directly add the value here}...更新/警告
:不要直接将参数值添加到查询字符串中,而应使用
PreparedStatement等。如上所示,查询字符串应仅包含值的占位符(例如
?),以防止SQL注入攻击。
我的意思是, 不要执行以下操作 :
if( nameParameter != null ) { //NEVER EVER, REALLY I MEAN IT, DON'T DO THIS query += " AND name='" + nameParameter + "'"; }
