시소당
Statement st = conn,createStatement();
ResultSet rs = St.executeQuery("select * from emp");
''를 쓰면 SQLException에러가 많이 뜬다. ex) where name='"+name+"'
('')는 Statment 객체를 사용하면 반드시 써야한다.
('')를 안쓸려면..
String sql="select * from emp where ename=?"; (?는 파라미터값을 넣어주겠다라는뜻.)
String name = request.getParameter("name");
preparedStatement pstmt=conn.prepareStatement(sql);
pstmt.setString(1,name);// 1번째? 에다 name이라는 파라미터값을 넣어주겠다라는 뜻.
ResultSet rs= pstmt,excuteQuery();
pstmt.setString(1,"홍길동"); //재사용도 할수있다.
rs=pstmt.executQuery(); //재사용
[출처] preparedStatement 사용법|작성자 하영재
http://blog.naver.com/hipbab/80041700406