String sql="select * from member where id='"+mb.getId()+"' "+"and passwd="+mb.getPasswd();

  try{
   st = conn.createStatement();
   rs = st.executeQuery(sql);
  if(rs.next())
   {
      result =true;
   }
  } 
~~~
return result;
디비 아이디랑 비교하는건데요.. 디비를 아이디랑 패스워드 둘다 varchar2로 했거든요
근데 실험할때 비번을 숫자로 하고 sqlplus에서 쿼리를 쓰면 값이 나오길래 

jdbc에서는 mb.getPasswd();를 따옴표 안묶었거든요.. 그랬더니 무조건 트루가 나오네요  
따옴표를 넣으면 재대로된값이 나오긴하는데  
쿼리가 잘못됐다면 false가 나오거나 오류떠야되는게 정상아닌가요?
try{
   st = conn.createStatement();
   rs = st.executeQuery(sql);
   while(rs.next())
   {
    id = rs.getString("id");
    passwd = rs.getString("passwd");
   }
  } 


  if(mb.getId().equals(id) && mb.getPasswd().equals(passwd)){
   result = true;
  }
  else{
   result = false;
  }
위에 부분을 따옴표 않넣고 이렇게 하면되는데 또 재대로 나와요..  왜이러는걸까요??
그냥 문법에 맞게 써야한다면 어쩔수없지만..아시면 가르쳐주세요 ^^

hsboy 숫자의 경우는 따옴표를 붙이지 않고, 문자의 경우는 따옴표를 붙여주는것이 원칙입니다. 그런데, varchar 타입에 숫자만을 넣었을때는 따옴표를 붙여주지 않아도 실행이 됩니다. 원칙적으로는 틀린거지만 DB서버가 알아서 변환하는거 같네요. 그리고 PrepareStatement를 쓴다면 이런고민을 안하셔도 됩니다. 게다가 위와같이 하실경우 SQL Injection(해킹기법중 하나)을 당할 우려도 있습니다. 사용법은 본사이트 강좌를 참고하세요 <2008-11-13 17:10:54.0> 패스워드:

ㅎㅎ 첫번째 방법은 비밀번호가 틀렸을경우도 true가나와서요 그냥 PrepareStatement 써야겠네요 ㅠㅠ 한번실습해봐서 왜 틀려도 true가 나오나 궁금해서요 따옴표넣으면 제대로 되는거 보면 쿼리가 이상한건데.. 그냥 디비에서 하면 비번이 숫자일때는 없어도 되서요..ㅠㅠ 답변감사합니다. <2008-11-13 18:15:18.0> 패스워드:

이름: 패스워드: