querySql = " select to_number(param_value) from award_sys_para where param_code in (?) ";
pstmt = reportConn.prepareStatement(querySql);
String s = "'20002','20001','20000'";
pstmt.setString(1, s);
上面会报错, ORA-01722: 无效数字,我不想用in(?,?,?)这种形式,因为可能有100多个?,只希望有一个?,然后直接设进去,可是报错,不知道该如何解决
还有我听说程序里面in后面带的参数过唱好像有问题的,不知道是不是啊
String s = "20002,20001,20000";
querySql = " select to_number(param_value) from award_sys_para where param_code in ("+s+") ";
pstmt = reportConn.prepareStatement(querySql);
手工检验下s防止注入就好了
String s = "2000,2000,20000";
这样试试 你上面的写法 是往后台传的字符串 所以提示无效数字
实在不行的话 就使用循环 来拼接sql语句 这样也可以适应不定长度的参数列表
querySql = " select to_number(param_value) from award_sys_para where param_code in (";
for(i=0;i<parameters.length;i++){
if(i!=parameters.length-1){
querySql += parameters[i]+',';
}else{
querySql += parameters[i];
}
}
querySql += ")";
然后在执行sql语句
[color=red]用传参,传个数组来做,首先:querySql = " select to_number(param_value) from award_sys_para where 1 = 1 ";,然后,定义一个StringBuffer,初始值为:"where param_code in (";然后一个for循环,for(int i=0;i<参数数组长度;i++){追加StringBuffer,追加为:"?,",判断一下,如果是最后一个了,那么就追加:"?)"},然后赋值可时候就好做萃取,循环数组就是了,是吧。[/color]
参数太长就不行了
要不试试存储过程 把拼好的sql语句作为存储过程的参数传进去看看
exists替代in