SQL にパラメータを設定します (PreparedStatement#setObject() に相当します)。 パラメータ値は SQL 構文の一部と見なされないため SQL インジェクション を気にしないで安全に埋め込むことが出来ます。ただし PreparedStatement と同様に LIKE 条件に指定する値はワイルドカードのエスケープ が必要です。

パラメータとして渡す値は value 属性に指定するかタグ内部に記述します。 タグ内部には別のタグも使用できますが、<c:out> では混在している HTML 予約文字をエスケープしてしまうため <sql:param>${foo}</sql:param> のように 素の EL　を使用します

日付型を設定する場合には対象のカラムが DATE, TIME, TIMESTAMP のいずれかによって変換形式が変わるため <sql:dateParam> を使用してください。