jdbc 拼接sql语句时为什么like中%不能直接拼接在语句中
而要在PreparedStatement的setString()中加上啊?不明白.......
------解决方案--------------------------------------------------------
select * from tableName where id like '%Name';
使用statement不行? 不可能吧
------解决方案--------------------------------------------------------
你好,这个PreparedStatement是可以防止sql注入的,里面除了?外的其他符号不允许的,否则报错!
但Statement就是可以的,但Statement容易sql注入