用jdbc做查询操作时动态拼接参数报SQL语法错误的问题

最新推荐文章于 2025-08-12 09:20:30 发布
原创 最新推荐文章于 2025-08-12 09:20:30 发布 · 3.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Javaweb #MySQL #jdbc #servlet

本文介绍了一种常见的Java Web开发中使用JDBC时遇到的问题——动态拼接SQL语句引发的错误,并提供了解决方案,即使用PreparedStatement来防止SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题描述:
自学用java开发后台服务的过程中,操作数据库的框架选用的jdbc。在用jdbc查询数据库时,有时需要动态的拼接查询语句(select...)所需要的参数,比如在servlet中获取到请求的url携带的参数IP:
String ip = request.getParameter("ip");
然后用这个ip动态的在servlet中拼接SQL语句:
String sql = "select *from <数据表名> where ip = "+ip;
然后用相关api执行SQL语句:

//省略连接数据驱动以及建立连接的代码
statement = connection.createStatement();
statement,executeQuery(sql);
上面的逻辑看似没有问题,但是结果却报错,主要是说从IP地址的第二个点号往后的语法有错,也就是拼接的类似192.168.xxx.xxx这样的参数时,会提示.xxx.xxx这附近的语法有错,而我手动拼接固定参数时,比如sql = "select *from xxx where ip=\"192.168.xxx.xx\"";这样却可以通过,初步怀疑是这个api的使用不熟,导致SQL语句写不正确。
解决方式:
用PreparedStatement代替Statement,借助通配符可以把参数进行挨个设置:
String SQL= "select *from xxx where ip = ?";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1,ip);//拼接IP
statement.setXxx(2,...);//其他需要配置的参数
ResultSet set = statement.executeQuery();
...
注意:SQL语句中的通配符个数和preparedstatement设置的参数个数保持相同,也就是select中有几个?号,preparedstatement就调用几个setXxx()方法按顺序相对应。
总结:自学的过程中难免会踩到很多坑,建议新开始使用任何一种工具之前先快速的读一下它的使用文档,磨刀不误砍柴工。
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
【MyBatis系列】Mybatis多表查询与动态SQL
未见花闻的博客
10-20 2998
本篇文章将介绍使用MyBatis进行多表查询以及MyBatis的动态SQL特性。
JDBC动态拼接SQL的工具类
03-31
JDBC动态拼接SQL的工具类。 对于使用纯SQL访问数据库的同学会有些帮助。 并具有一定的扩展性。
Spring JdbcTemplate实现自定义动态sql拼接功能
thinkers
05-06 1571
sql 需要能满足支持动态拼接,包含 查询字段、查询表、关联表、查询条件、关联表的查询条件、排序、分组、去重等。11,核心类之 BasicConditionQueryCriteria(入参)7,核心类之 PredicateCondition。8,核心类之 PropertyCondition。10,核心类之 ExecutionSql。9,核心类之 SqlBuilder。6,核心类之 Condition。2,创建项目并引入 pom依赖。4,核心类之 Column。5,核心类之 Table。
jdbc mysql语法_JDBC PreparedStatement导致MySQL语法错误
weixin_26741799的博客
01-27 424
我收到错误消息 “您的SQL语法有错误;请检查与您的MySQL服务器版本相对应的手册,以找到在第1行的“ orderr”附近使用的正确语法”-因此,我认为错误是用了两个 ‘, 但是在我的代码中我没有用 ‘ 。注意,该表实际上被命名为订购者。public void insertIntoDatabase(String table, Object... entries) { // take ...
JDBC动态拼接sql语句
LuckFairyLuckBaby的博客
09-25 4710
public class Demo1 { private static String url = "jdbc:mysql://127.0.0.1:33056/test"; private static String username = "root"; private static String password = "123456"; ...
spring整合JdbcTemplate sql语句
qq_43382750的博客
09-07 700
org.springframework.jdbc.BadSqlGrammarException: StatementCallback; bad SQL grammar [Delete from user where name= 正辉]; nested exception is com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: Unknown column ‘正辉’ in ‘where clause’ 原语句 jt.execute("Del
MyBatis 框架 动态SQL 处理简单的 多参数查询
whs_8792的博客
06-25 1297
MyBatis 框架 使用动态SQL 处理简单的 多参数查询
MyBatis中动态SQL拼接错误的错与修复
最新发布
shejizuopin的博客
08-12 758
MyBatis动态SQL错误分析与修复指南 摘要:本文系统总结了MyBatis框架中动态SQL拼接常见错误类型及解决方案。主要包含三类典型错误:<if>条件判断失效、<foreach>集合遍历异常和SQL函数使用不当。针对每种错误场景,文章提供了详细的错误现象分析、根本原因说明和具体修复代码示例,并给出了诊断三步法和参数类型映射表等实用工具。通过开启MyBatis DEBUG日志、校验参数类型匹配和标签正确性,开发者可以快速定位并修复动态SQL拼接问题,提升开发效率。
如何实现 SQL 语句动态拼接
Raqsoft
06-28 3176
有结构相同的分表 A 及总表 B,将表 A 数据汇总到表 B。汇总,根据条件,若 A 数据存在于 B 表中,则更新,若不存则插入。我们可采用 merge into 语句,它可以同实现 update 和 insert 的功能,动态拼接成 merge into 语句让数据库执行操作。 若用 java 来实现,由 merge into 的语法特点知,需要对 on 条件,insert,update 进行多处循环拼接字段,update 处还需要去掉主键字段或索引字段,拼接 SQL 语句的一系列操作并不容易。用其
动态sql
JLKQUB的博客
12-22 389
动态sql 动态 SQL 是 MyBatis 的强大特性之一。如果你使用过 JDBC 或其它类似的框架,你应该能理解根据不同条件拼接 SQL 语句有多痛苦,例如拼接要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL,可以彻底摆脱这种痛苦。 if if 是最基本的动态 SQL 标签,其 test 属性是一个用于判断输入参数的 OGNL 表达式,当条件判断为真会拼接其中的内容。与编程语言不同,mybatis 没有 else 标签,if 标签仅用于最基本的条件判断,如果有
JdbcTemplate#batchUpdate(sql,objectArrList) uncategorized SQLException for SQL
wang0907的博客
08-19 355
2:objectArrList中存在null值,使用""即可。1: sql本身有语法错误,如该有空格的地方没有空格等。
利用ThreadLocal完美解决JDBC动态拼接SQL的多条件查询
Drinkjava2的博客
11-23 588
再摘一段JDBC多条件查询的单元测试实例(源码可在jSQLBox项目下找到),大家知道在条件不确定的情况下,执行动态拼接生成的SQL,即要保证SQL安全性,防止SQL注入,又要保证编码的简洁性,这一直是一个头痛的问题。 jSQLBox利用ThreadLocal解决了这个问题: Java代码 收藏代码 public class ConditionQueryTest { ...
关于在java中拼接SQL文会出现的错误(不光要注意全角空格,还要注意全角字符,如逗号)。
sun0322
03-02 1426
<br />之前只注意到半角空格与全角空格会发生错误,这次是逗号 的分割符使用了全角。
java通过+拼接字符串导致的无效SQL,三目运算符与+运算符结合使用需要注意了
Rosen's
11-06 925
调试代码的过程中遇到一个比较尴尬的问题java代码中先进行sql拼接,然后再执行拼接后的sql,即一个又臭又长的字符串。设计到sql拼接的情况,我个人比较喜欢用StringBuilder拼接,毕竟使用 + 连接多个String子串的效率是较低的。不过我也是二手代码,懒得重写了,就直接在源代码基础上修改了。 之前代码的问题其实是出现在,通过JDBC从第三方数据库获取的字段为空,通过Result...
JDBC动态参数,动态sql示例
love2945209的博客
09-27 8343
/** * 图书借阅 *  * @param xh *            学号 * @param bookName *            图书名称 * @param bookStatus *            图书状态 * @return */ public List> tsjy(String xh, String bookName, String bookSta
JDBC(preparedStatement对象)动态连接数据库
匿名攻城狮
11-26 1057
一、pstm连接数据库的步骤 为了解决Sql注入攻击漏洞,可以使用PreparedStatement来执行sql。它是Statement的一个子接口,使用步骤分为3步: ①创建:通过连接获得PreparedStatement对象 String sql = "select * from users_luxw where username=?Andpassword=?"; PreparedStat...
动态拼装sql写入mysql_Mybatis动态拼接SQL语句篇
weixin_35009071的博客
01-30 907
MyBatis常用OGNL表达式使用OGNL表达式,类似EL表达式。使用如下标签,类似JSTL标签以下介绍的标签基本都在操作标签内(、、、)1、:相当于给sql语句后面自动添加一个 where 1=1,避免sql语句where后面紧跟着一个and即第一个条件为假2、:if语句test:对属性的条件,填写OGNL表达式,3、: 对拼接后的sql语句再进行最后的修改prefix:给拼串后的整个字符串加...
利用Java的反射、泛型以及动态参数实现JDBC工具类
dl0246的博客
09-22 1115
利用Java的反射、泛型以及动态参数实现JDBC工具类,对于初学者来讲,除了可以锻炼编程思维,也为理解框架技术打下良好基础。分享给大家!package com.rock.util;import java.io.IOException; import java.sql.Connection; import java.sql.DriverManager; import java.sql.Prepared
掌握SQL与动态SQL基本语法及其应用
- **使用特定数据库编程接口**:例如,使用JDBC编程,可以使用`PreparedStatement`对象来执行动态SQL语句。这样可以有效防止SQL注入攻击,并提高代码的灵活性。例如: ```java String sql = "SELECT * FROM " + ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值