现在做的这个查询时模糊查询,在前端页面查询输入框中输入“%”,查询出所有数据,输入“'”后台就报错了,以前没有这样试过,谁知道jdbc preparedstatement允许输入的查询字符有哪些?有点纠结……
典型的SQL注入问题,不要用+去拼SQL的条件,用查询变量?去做查询条件
这个应该与preparedstatement没多大关系吧,应该跟具体的数据库实现有关系。另外对于前段传给后台的特殊字符最好encode下