在SQL語句中使用占位符傳值可以防止SQL注入攻擊,并且可以提高SQL語句的可讀性和重用性。在大多數數據庫系統中,使用占位符傳值的方法是在SQL語句中使用問號(?)來表示占位符,然后在執行SQL語句時,將實際的值傳遞給占位符。
例如,在Java中使用PreparedStatement對象執行SQL語句時,可以使用占位符傳值的方法:
String sql = "SELECT * FROM users WHERE username = ?";
PreparedStatement pstmt = connection.prepareStatement(sql);
pstmt.setString(1, "john.doe");
ResultSet rs = pstmt.executeQuery();
在這個例子中,? 是占位符,pstmt.setString(1, "john.doe") 將實際的值傳遞給第一個占位符。這樣就可以安全地執行SQL查詢,并且避免了SQL注入攻擊的風險。
