JSP JSTL <sql:param>標籤：指定SQL引數

<sql:param> 標籤用於動態地為 SQL 語句指定引數值，這不同於普通的以變數填充引數的方式，使用 <sql:param> 標籤指定 SQL 引數值可以防止 SQL 注入。

語法：

<sql:param value="value"/>
<sql:param>
  parameter value
</sql:param>

<sql:param> 標籤只有一個 value 屬性，用於為 SQL 語句指定引數值。

範例

應用 <sql:update> 標籤修改資料表 tb_user 中指定使用者的密碼，其中，使用者名稱和密碼通過 <sql:param> 標籤動態指定，關鍵程式碼如下：

<%@page language="java" contentType="text/html;charset=GBK" pageEncoding="GBK"%>
  <%@taglib prefix="sql" uri="http://java.sun.com/jsp/jstl/sql"%>
    <sql:setDataSource driver="com.mysql.jdbc.Driver"
                       url="jdbc:mysql://localhost:3306/db_testjstl"user="root"
                       password="111"/>
    <sql:update sql="UPDATE tb_user SET pwd=?WHERE username=?">
      <sql:param value="123"></sql:param>
      <sql:param value="小小"></sql:param>
    </sql:update>