如何在 Java 中使用准备好的语句进行选择查询?

Posted

技术标签:

【中文标题】如何在 Java 中使用准备好的语句进行选择查询?【英文标题】:How to use prepared statement for select query in Java? 【发布时间】:2014-07-11 07:29:13 【问题描述】:

我曾多次尝试使用准备好的语句,但它返回 SQL 异常。这是我的代码:

public ArrayList<String> name(String mobile, String password) 
    ArrayList<String> getdata = new ArrayList<String>();
    PreparedStatement stmt = null;
    try 
        String login = "select mobile, password from tbl_1 join tbl_2 on tbl_1.fk_id=2.Pk_ID where mobile=? and password=?";

        String data = "select * from tbl_2  where password='" + password + "'";

        PreparedStatement preparedStatement = conn.prepareStatement(login);

        preparedStatement.setString(1, mobile);
        preparedStatement.setString(1, password);

        ResultSet rs = preparedStatement.executeQuery(login);

        Statement stmts = (Statement) conn.createStatement();

        if (rs.next()) 
            System.out.println("Db inside RS");
            ResultSet data = stmts.executeQuery(data);

            while (data.next())  /* looping through the resultset */

                getdata.add(data.getString("name"));
                getdata.add(data.getString("place"));
                getdata.add(data.getString("age"));
                getdata.add(data.getString("job"));
            

        

     catch (Exception e) 
        System.out.println(e);
    

    return getdata;

在运行时,我得到了以下 SQL 异常:

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '? and password=?' at line 1.

有什么建议可以完成这项工作吗? 任何一段代码表示赞赏。

【问题讨论】:

第一个问题 - 您设置了参数 1 两次,而从未设置参数 2。第二个问题 - 您只对 一个 查询使用了准备好的语句。第三个问题:听起来您可能以纯文本形式存储密码... 什么是 2.PK_ID ?好像你忘了一个 tbl_ 那里 Jon Skeet 分析机刚刚将您的问题交给了清洁工。认为自己是 Skeeted。 @Jon Skeet,我清除了第一个问题。我只需要为第一个查询准备好的语句,例外是我使用准备好的语句的第一个查询。谢谢它的工作 PreparedStatement does not work with mysql/JDBC 的可能重复项 【参考方案1】:

你需要使用:

preparedStatement.executeQuery();

而不是

preparedStatement.executeQuery(login);

当您将字符串传递给executeQuery() 查询是按字面意思执行的,因此? 被发送到数据库,然后创建错误。通过传递查询字符串,您不会执行传递值的“缓存”准备语句。

【讨论】:

【参考方案2】:

对于这两个参数,您都使用preparedStatement.setString(1, ..);,因此第一个参数设置了两次。但您从未设置过第二个参数的值。

所以改变

preparedStatement.setString(1, mobile);
            preparedStatement.setString(1, password);


    preparedStatement.setString(1, mobile);
    preparedStatement.setString(2, password);

【讨论】:

以上是关于如何在 Java 中使用准备好的语句进行选择查询?的主要内容,如果未能解决你的问题,请参考以下文章

如何在另一个准备好的语句中使用 PreparedStatement 作为子查询

在 Android 中使用准备好的语句进行查询?

PHP:使用准备好的语句进行注入保护

如何使用准备好的语句选择 IP 地址

准备好的语句中的占位符

从准备好的语句中获取数据