Bạn nên sử dụng setString()
phương pháp đặt userID
. Điều này vừa đảm bảo rằng câu lệnh được định dạng đúng, vừa ngăn SQL injection
:
statement =con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
Có một hướng dẫn hay về cách sử dụng PreparedStatement
đúng trong Hướng dẫn Java
.