<sql:param> 标签用于动态地为 SQL 语句指定参数值,这不同于普通的以变量填充参数的方式,使用 <sql:param> 标签指定 SQL 参数值可以防止 SQL 注入。
语法:
<sql:param value="value"/>
<sql:param>
parameter value
</sql:param>
<sql:param> 标签只有一个 value 属性,用于为 SQL 语句指定参数值。
应用 <sql:update> 标签修改数据表 tb_user 中指定用户的密码,其中,用户名和密码通过 <sql:param> 标签动态指定,关键代码如下:
<%@page language="java" contentType="text/html;charset=GBK" pageEncoding="GBK"%>
<%@taglib prefix="sql" uri="http://java.sun.com/jsp/jstl/sql"%>
<sql:setDataSource driver="com.mysql.jdbc.Driver"
url="jdbc:mysql://localhost:3306/db_testjstl"user="root"
password="111"/>
<sql:update sql="UPDATE tb_user SET pwd=?WHERE username=?">
<sql:param value="123"></sql:param>
<sql:param value="小小"></sql:param>
</sql:update>
更多...
加载中...