JSP JSTL <sql:param>标签：指定SQL参数

<sql:param> 标签用于动态地为 SQL 语句指定参数值，这不同于普通的以变量填充参数的方式，使用 <sql:param> 标签指定 SQL 参数值可以防止 SQL 注入。

语法：

<sql:param value="value"/>
<sql:param>
  parameter value
</sql:param>

<sql:param> 标签只有一个 value 属性，用于为 SQL 语句指定参数值。

示例

应用 <sql:update> 标签修改数据表 tb_user 中指定用户的密码，其中，用户名和密码通过 <sql:param> 标签动态指定，关键代码如下：

<%@page language="java" contentType="text/html;charset=GBK" pageEncoding="GBK"%>
  <%@taglib prefix="sql" uri="http://java.sun.com/jsp/jstl/sql"%>
    <sql:setDataSource driver="com.mysql.jdbc.Driver"
                       url="jdbc:mysql://localhost:3306/db_testjstl"user="root"
                       password="111"/>
    <sql:update sql="UPDATE tb_user SET pwd=?WHERE username=?">
      <sql:param value="123"></sql:param>
      <sql:param value="小小"></sql:param>
    </sql:update>