我将如何使用 string.format() 在此 Java/SQL 代码中省略 + 字符串连接 + 。
String sql = "SELECT * FROM "+p_tableName+" WHERE 1 = 0";
问问题
4524 次
2 回答
0
String sql = String.format("SELECT * FROM %s WHERE 1 = 0", p_tableName);
以这种方式创建 SQL 语句时请务必小心,因为它们很容易被用于 SQL 注入攻击。
于 2012-12-04T18:41:08.123 回答
0
您可以使用String.format("SELECT * FROM %s WHERE 1 = 0", table_name). 但是,我强烈建议您PreparedStatement改用(请参阅如何制作准备好的声明?、https : //stackoverflow.com/a/396765/130224、PreparedStatements 和性能以及使用准备好的声明)。PreparedStatement产生更高的性能和安全性。
于 2012-12-04T18:41:18.383 回答