那些遇到过的问题

将参数传递给JDBC PreparedStatement

use*_*134 18 java mysql jdbc

我正在尝试为我的程序制作验证课程.我已经建立了与MySQL数据库的连接,我已经在表中插入了行.该表由firstName,lastNameuserID领域.现在我想通过构造函数的参数在数据库中选择一个特定的行. 

import java.sql.*;
import java.sql.PreparedStatement;
import java.sql.Connection;

public class Validation {

    private PreparedStatement statement;
    private Connection con;
    private String x, y;

    public Validation(String userID) {
        try {
            Class.forName("com.mysql.jdbc.Driver");
            con = DriverManager.getConnection(
                    "jdbc:mysql://localhost:3306/test", "root", "");
            statement = con.prepareStatement(
                    "SELECT * from employee WHERE  userID = " + "''" + userID);
            ResultSet rs = statement.executeQuery();
            while (rs.next()) {
                x = rs.getString(1);
                System.out.print(x);
                System.out.print(" ");
                y = rs.getString(2);
                System.out.println(y);
            }
        } catch (Exception ex) {
            System.out.println(ex);
        }
    }
}
Run Code Online (Sandbox Code Playgroud)

但它似乎不起作用.

Kep*_*pil 40

您应该使用该setString()方法来设置userID.这既可以确保语句格式正确,又可以防止SQL injection: 

statement =con.prepareStatement("SELECT * from employee WHERE  userID = ?");
statement.setString(1, userID);
Run Code Online (Sandbox Code Playgroud)

有一个关于如何PreparedStatementJava教程中正确使用s的很好的教程.

小智 6

这样做,也可以防止SQL注入攻击

statement = con.prepareStatement("SELECT * from employee WHERE  userID = ?");
statement.setString(1, userID);
ResultSet rs = statement.executeQuery();
Run Code Online (Sandbox Code Playgroud)

Roh*_*ain 6

您的查询有问题..

   statement =con.prepareStatement("SELECT * from employee WHERE  userID = "+"''"+userID);
   ResultSet rs = statement.executeQuery();
Run Code Online (Sandbox Code Playgroud)

您正在使用 Prepare Statement .. 所以您需要使用statement.setInt()statement.setString()根据您的类型来设置参数userId

替换为:-

   statement =con.prepareStatement("SELECT * from employee WHERE  userID = :userId");
   statement.setString(userId, userID);
   ResultSet rs = statement.executeQuery();
Run Code Online (Sandbox Code Playgroud)

或者,您可以使用?代替命名值 - :userId..

   statement =con.prepareStatement("SELECT * from employee WHERE  userID = ?");
   statement.setString(1, userID);
Run Code Online (Sandbox Code Playgroud)

  • `statement =con.prepareStatement("SELECT * from employee WHERE userID = :userId");` 我认为 jdbc 不支持这种语法。Jdbc 不支持命名参数,是吗? (3认同)

Nan*_*ale 5

您可以使用 '?' 使用PreparedStatments 在字符串中设置自定义参数。

statement =con.prepareStatement("SELECT * from employee WHERE  userID = ?");
statement.setString(1, userID);
ResultSet rs = statement.executeQuery();
Run Code Online (Sandbox Code Playgroud)

如果您直接在查询中传递 userID,那么它可能会受到SQL INJECTION Attack 的攻击。

Pau*_*nis 5

如果您使用的是准备好的语句,您应该像这样使用它:

"SELECT * from employee WHERE userID = ?"
Run Code Online (Sandbox Code Playgroud)

然后使用:

statement.setString(1, userID);
Run Code Online (Sandbox Code Playgroud)

?将在您的查询中替换为传递给setString方法的用户 ID 。

看看这里如何使用PreparedStatement

归档时间:

查看次数:

83156 次

最近记录:

8 年,6 月 前
相关归档
在Java中递归删除目录 369
如何从java应用程序内部获取vm参数? 152
MySQL:导入时忽略错误? 109
用杰克逊将JSON反序列化为多态类型 - 完整示例给出了编译错误 62
导致INSERT失败的TRIGGER?可能? 14
将 SQL 文件导入 DBeaver 14
MySQL数据导出更改时间 13
VBA如何连接到Excel中的MySQL数据库? 11
如何使用 Laravel 迁移将字符串列类型转换为整数? 11
在postgresql 9.1.3中执行类型转换函数与postgresql 8.2.22中的不同.连接无法正常工作 4
难疑归档
检查shell脚本中是否存在目录 3556
如何有效地迭代Java Map中的每个条目? 3113
如何检查对象是否是数组? 2581
如何检查字符串是否包含Bash中的子字符串 2332
如何在不手动指定编码的情况下在C#中获得字符串的一致字节表示? 2121
在JavaScript中定义枚举的首选语法是什么? 1982
如何在Python中小写一个字符串? 1908
类型检查:typeof,GetType还是? 1435
传输安全性阻止了明文HTTP 1425
如何在Git中仅提交区分大小写的文件名更改? 1157