1

我收到此错误,任何人都可以帮助我在查询中找到我的错误吗?

public boolean populateLeagues(String leaguename, String password){

        Connect connect = new Connect();
        Connection conn = connect.Connection();
        Statement stmt = conn.createStatement();            
        String query = "INSERT INTO users VALUES('" + leaguename + "')";
        stmt.executeUpdate(query);
        conn.close();
}
4

2 回答 2

0

正如@Jon Skeet 所说,使用准备好的语句并将参数注入。通过这种方式,您不必弄清楚有关 sql 注入和数据格式的所有麻烦(考虑使用您提供的查询来全局存储日期时间)。可能leaguename价值是null。请记住,字符串类型的默认值不是空字符串,而是null

于 2012-07-23T20:25:00.307 回答
-1

您使用单引号leaguename,因为我们不知道如何leaguename格式化,这可能会导致错误

于 2012-07-23T19:36:19.380 回答