この Java/SQL コードで + 文字列連結 + を省略するには、string.format() をどのように使用すればよいでしょうか。
String sql = "SELECT * FROM "+p_tableName+" WHERE 1 = 0";
4524 次
2 に答える
0
String sql = String.format("SELECT * FROM %s WHERE 1 = 0", p_tableName);
この方法でSQLステートメントを作成するときは、SQLインジェクション攻撃で非常に簡単に使用される可能性があるため、常に注意してください。
于 2012-12-04T18:41:08.123 に答える
0
を使用できますString.format("SELECT * FROM %s WHERE 1 = 0", table_name)。PreparedStatementただし、代わりに使用することを強くお勧めします(プリペアドステートメントを作成するにはどうすればよいですか?、https://stackoverflow.com/a/396765/130224、PreparedStatementsとパフォーマンス、およびプリペアドステートメントの使用を参照してください)。PreparedStatementより高いパフォーマンスとセキュリティが得られます。
于 2012-12-04T18:41:18.383 に答える