規避坑爹的SQL語句組合

一、插入語句

運用占位符

public boolean ChaRu3(User user){        boolean flag=true;        Connection conn=null;        PReparedStatement ps=null;    //創建PreparedStatement 對象        String sql= "insert into user (name,pwd) values(?,?)";  //sql語句不再采用拼接方式，應用占位符問號的方式寫sql語句。        conn=DBConnUtil.getConn();        try {            ps=conn.prepareStatement(sql);            ps.setString(1, user.getName()); //對占位符設置值，占位符順序從1開始，第一個參數是占位符的位置，第二個參數是占位符的值。            ps.setString(2, user.getPwd());             int i=ps.executeUpdate();            if(i==0){                flag=false;            }        } catch (SQLException e) {            // TODO Auto-generated catch block            e.printStackTrace();        }finally{            DBConnUtil.closeAll(null, ps, conn);        }        return flag;            }