Scanner input = new Scanner(System.in);
System.out.println("Enter Staff Name: ");
String staffName = input.nextLine();
System.out.println("Enter Department Name: ");
String department =Input.nextLine();
stmt.executeUpdate("insert into staff (StaffName,department) " + "values " +
staffName,department);
这给了我一个错误并要求我检查 SQL 手册。这可能吗?
最佳答案
这是可能的,因为它已经发生了。 SQL 中的字符串必须用引号引起来:
insert into foo (bar, baz) values ('hello', 'world');
学习使用prepared statements而不是字符串连接,使您的查询有效,并且不受 SQL injection 的约束攻击:
PreparedStatement stmt = connection.prepareStatement("insert into staff (StaffName, department) values (?, ?)");
stmt.setString(1, staffName);
stmt.setString(2, department);
stmt.executeUpdate();
使用上面的内容,您不需要弄乱引号,也不需要在字符串中转义它们。
关于java - java 提供什么工具来从 SQL 中的executeUpdate() 方法的命令行获取输入,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18197447/