Sử dụng PreparedStatement . Bằng cách đó, bạn chỉ định một trình giữ chỗ và trình điều khiển JDBC sẽ thực hiện điều này một cách chính xác bằng cách gửi câu lệnh cho cơ sở dữ liệu, cộng với các tham số làm đối số.
String updateStatement =
"update " + dbName + ".COFFEES " +
"set TOTAL = TOTAL + ? " +
"where COF_NAME = ?";
PreparedStatement updateTotal = con.prepareStatement(updateStatement);
updateTotal.setInt(1, e.getValue().intValue());
updateTotal.setString(2, e.getKey());
Các dấu chấm hỏi ở trên đại diện cho các phần giữ chỗ.
Vì các giá trị này được chuyển dưới dạng tham số, bạn không gặp vấn đề với việc trích dẫn và nó bảo vệ bạn khỏi SQL tiêm quá.
