首页public void updateStudent(Student student){ String sql = "update student set stuname = '"+student.getStuname()+"',stuage = '"+student.getStuage()+"'"; try { queryRunner.update(connection,sql,new ScalarHandler()); } catch (SQLException e) { e.printStackTrace(); } }改正确

public void updateStudent(Student student){ String sql = "update student set stuname = '"+student.getStuname()+"',stuage = '"+student.getStuage()+"'"; try { queryRunner.update(connection,sql,new ScalarHandler()); } catch (SQLException e) { e.printStackTrace(); } }改正确

时间: 2024-03-28 11:41:40 浏览: 96

学生信息SQL

数据库1、查询"01"课程比"02"课程成绩高的学生的信息及课程分数 (ˇˍˇ）想～ select distinct s.S# 学号,s.Sname 学生姓名,s.Ssex 性别 ,convert(date,s.Sage) 出生日期,sc.score 分数 from Student s,SC sc,SC ss where s.S#=sc.S# and sc.S#='01' and ss.S#='02' and sc.score>ss.score --1.1、查询同时存在"01"课程和"02"课程的情况 select s.Sname 姓名,s.Ssex 性别,convert(date,s.Sage) 出生日期,sc.score from Student s,SC sc,SC ss where s.S#=sc.S# and s.S#=ss.S# and sc.C#='01' and ss.C#='02' --1.2、查询同时存在"01"课程和"02"课程的情况和存在"01"课程但可能不存在"02"课程的情况 ---(不存在时显示为null)(以下存在相同内容时不再解释) select s.Sname 姓名,s.Ssex 性别,convert(date,s.Sage) 出生日期,sc.score 分数 from Student s,SC sc,SC ss where s.S#=sc.S# and s.S#=ss.S# and sc.C#='01' and ss.C#='02' and sc.score>ISNULL(ss.score,0) --select 课程=case Cname --when '语文' then 'null' else Cname end from Course --where exists(select S# from SC where C# in(select C# from Course where C#='01' and T#='02')) --查询存在’01‘不存在’02‘是为'null'

你的代码存在 SQL 注入的风险，因为它直接将用户输入的数据嵌入到 SQL 语句中，而不是使用参数化查询的方式来处理。为了避免 SQL 注入，你应该改用参数化查询的方式来构建 SQL 语句。修改后的代码如下： ``` public void updateStudent(Student student) { String sql = "update student set stuname = ?, stuage = ?"; try { queryRunner.update(connection, sql, student.getStuname(), student.getStuage()); } catch (SQLException e) { e.printStackTrace(); } } ``` 在这个代码中，我们使用了 `?` 占位符来代替 SQL 语句中的具体值，然后在调用 `queryRunner.update()` 方法时，将具体的值作为参数传入。这样就能够避免 SQL 注入的问题。

阅读全文