首页 > 编程笔记 > Java笔记

JSP JSTL <sql:param>标签:指定SQL参数

<sql:param> 标签用于动态地为 SQL 语句指定参数值,这不同于普通的以变量填充参数的方式,使用 <sql:param> 标签指定 SQL 参数值可以防止 SQL 注入。

语法:

<sql:param value="value"/>
<sql:param>
  parameter value
</sql:param>

<sql:param> 标签只有一个 value 属性,用于为 SQL 语句指定参数值。

示例

应用 <sql:update> 标签修改数据表 tb_user 中指定用户的密码,其中,用户名和密码通过 <sql:param> 标签动态指定,关键代码如下:
<%@page language="java" contentType="text/html;charset=GBK" pageEncoding="GBK"%>
  <%@taglib prefix="sql" uri="http://java.sun.com/jsp/jstl/sql"%>
    <sql:setDataSource driver="com.mysql.jdbc.Driver"
                       url="jdbc:mysql://localhost:3306/db_testjstl"user="root"
                       password="111"/>
    <sql:update sql="UPDATE tb_user SET pwd=?WHERE username=?">
      <sql:param value="123"></sql:param>
      <sql:param value="小小"></sql:param>
    </sql:update>

所有教程

优秀文章