只需使用
PreparedStatement代替即可
Statement。
即使用
String sql = "INSERT INTO tbl (col1, col2, col3) VALUES (?, ?, ?)";preparedStatement = connection.prepareStatement(sql);preparedStatement.setString(1, col1);preparedStatement.setString(2, col2);preparedStatement.setString(3, col3);preparedStatement.executeUpdate();
代替
String sql = "INSERT INTO tbl (col1, col2, col3) VALUES ('" + col1 + "', '" + col2 + "', '" + col3 + "')";statement = connection.createStatement();statement.executeUpdate(sql);该
PreparedStatement还提供了其他类型的方便的设置方法,如
setInt(),
setDate(),
setBinaryStream(),等等。
请注意,此问题与JSP无关。通常,它与Java有关。在JSP类中编写原始Java代码也被认为是不好的做法。最佳实践是创建一个独立类,该类在特定表上执行所有数据库交互任务,该类也称为DAO(数据访问对象)类。然后,您可以在Servlet类中导入/使用此DAO类。
