我有一個代碼:字符串在Java中
for(int i=0;i<fList.size();i++){
String targets="";
String values="";
String sql="INSERT INTO "+tableName+"("+targets+") VALUES("+values+")";
Map<Column, String> attrs=fList.get(i).getAttributes();
for(int j=0;j<columns.size();j++){
if(columns.get(j).getName().equalsIgnoreCase("kadnum")){
targets=targets+"kadnum,";
System.out.println("targets:"+targets);
values=values+attrs.get(columns.get(j))+",";
System.out.println("values:"+values);
}
if(columns.get(j).getName().equalsIgnoreCase("support_num")){
targets=targets+"support_num";
values=values+attrs.get(columns.get(j))+",";
}
}
System.out.println("sql="+sql);
}
,快出來放:
INSERT INTO parcels() VALUES()
但如果ü改變System.out.println("sql="+sql);
到System.out.println("targets="+targets);
我得到:targets=kadnum,
爲什麼SQL字符串不會改變?
您有一個SQL注入漏洞。 – SLaks
千萬不要這樣做。使用框架連接到你的db – iwein
JDBC不能在db中插入? –