sql语句中的问号

？是一个占位符 替代参数位置

数据库中字符串采用单引号 ’ ’

String sql = 'select * from table';

java中是双引号

String sql = "select * from table";

当sql语句中包含问号时表示这个sql语句必须传一个参数,多个参数顺序匹配
绑定参数法

string sql=”select * from table where id>0″+”and name=?”;

还有一种写法直接组成sql语句

string sql=”select * from table where id>0″+”and name='"+username+”'";

但是这种方法存在注入攻击的可能
关于sql注入攻击
比方说登录场景时
用拼接的方式写

String sql = "select * from user where username='"+username+"' and password='"+password+"'";

如果有人这样输入用户名和密码
用户名：admin
密码：123’ or ‘1’ = '1
然后这段代码就会变成

String sql = "select * from user where username='admin' and password='123' or '1' = '1';

就完蛋了