那些遇到过的问题

更新语句语法错误

rdk*_*992 2 java sql jsp

我有以下字符串,其中包含我要执行的查询:

     query = "UPDATE inventario"
     + " set descripcion = '" + descripcion + "',"
     + " set bodega = '" + bodega + "'"
     + " where codigo = " + codigo;
Run Code Online (Sandbox Code Playgroud)

我得到一个Update语句语法错误,但我没看到错误在哪里.任何帮助表示赞赏.列"descripcion"和"bodega"是文本类型列.

Jon*_*eet 8

好吧,这可能是因为你有多个set部分而不是使用逗号分隔,并且可能是因为你没有关于codigo值的引号(如果那是另一个字符串)...但是我强烈建议你不要像这样创建SQL无论如何,直接在SQL中使用值.

相反,使用准备好的声明:

String sql = "UPDATE inventario set descripcion=?, bodega=? where codigo=?";
PreparedStatement st = conn.prepareStatement(sql);
st.setString(1, descripcion);
st.setString(2, bodega);
st.setString(3, codigo);
Run Code Online (Sandbox Code Playgroud)

使用预准备语句有三个直接好处:

  • 它避免了SQL注入攻击(想想如果你的描述中有引号会发生什么)
  • 它将代码(SQL)与数据(值)分开
  • 这意味着您可以避免像datetime这样的类型的转换,其中通过字符串表示进行转换是一个巨大的潜在错误来源

归档时间:

查看次数:

1060 次

最近记录:

12 年,10 月 前
相关归档
我应该如何在运行时动态加载Jars? 290
JPQL IN子句:Java-Arrays(或Lists,Sets ...)? 101
启动jboss服务器时出错 99
Java中布尔变量的大小是多少? 89
使用表连接的GraphQL查询 26
有没有办法在Mysql中获取行号,就像在oracle中的rownum一样 15
是否有类似Oracle SQL中的SUM函数的PRODUCT函数? 11
如何将ajax的成功函数的结果与字符串进行比较 8
通过htmltidy提供渲染的jsp页面 7
通过Apache Commons上传流文件期间存储的数据在哪里? 5
难疑归档
什么是依赖注入? 2984
为什么"使用命名空间std"被认为是不好的做法? 2486
.NET中的decimal,float和double之间的区别? 2015
我如何递归grep? 1619
<快于<=? 1508
何时使用struct? 1347
插入...值(SELECT ... FROM ...) 1340
如何从其他线程更新GUI? 1331
更改列:null为非null 1177
PHP和枚举 1114