Разбира се, ако промените комбинацията си база данни/драйвер от текущата си реализация към нещо, поддържащо множество заявки, тогава ще активирате спяща дупка в сигурността, за която (без съмнение) хората ще са забравили!
Пренебрегвайки злонамерените, злонамерени сценарии, горното ще ви създаде проблеми с вмъкването на редовни данни, включително знаци за кавички и т.н., т.е. горното просто няма да работи за конкретни набори от данни (освен ако не са почистени/изтрити и т.н.). Бих го коригирал просто за функционални цели.
Трябва да погледнете PreparedStatement и методите за вмъкване на данни за това (setString() ) и др.
напр.:
PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
SET SALARY = ? WHERE ID = ?");
pstmt.setBigDecimal(1, 153833.00)
pstmt.setString(2, "Insert what you like here")
Методът setString() ще поддържа всеки низ без проблеми с екраниране/инжектиране.
