Měli byste použít setString()
metoda pro nastavení userID
. To zajišťuje správné formátování příkazu a zabraňuje SQL injection
:
statement =con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
Existuje pěkný návod, jak používat PreparedStatement
je správně v výukových programech Java
.