SQL 语句失败，即使 db 中有实体

Question

我有一个叫做 Produkt 的表，在这个表中有几个叫做 test 的产品。

当我想做那个代码时：

public Produkt findByName(String name) throws SQLException{
    log.error("Enter findByName with parameters: " + name);
    PreparedStatement ps;
    ResultSet rs = null;
    String query = "SELECT * FROM Produkt WHERE name=" + name;
    ps=hsqlmanager.getConnection().prepareStatement(query);
    rs = ps.executeQuery();
    ps.close();
    if(rs.next()) return(new Produkt(rs));
    else return(null);
}

它总是给我一个 sql 错误：

Exception in thread "main" java.sql.SQLSyntaxErrorException: user
lacks privilege or object not found: TEST   at
org.hsqldb.jdbc.Util.sqlException(Unknown Source)   at
org.hsqldb.jdbc.Util.sqlException(Unknown Source)   at
org.hsqldb.jdbc.JDBCPreparedStatement.<init>(Unknown Source)    at
org.hsqldb.jdbc.JDBCConnection.prepareStatement(Unknown Source)     at
dao.DAOProdukt.findByName(DAOProdukt.java:157)  at
dao.test_produkt_dao.main(test_produkt_dao.java:23)

为什么？我很欣赏你的回答！！！

更新：

为什么 PS 使用不当？请告诉我，以便我可以从中学习？

Answer 1

您根本不应该在 SQL 中包含该值。这样做会招致 SQL 注入攻击，除非您非常小心引用。 （对于非字符串值，它也引入了潜在的不正确字符串转换。哦，它有效地将代码与数据混合在一起。只需对 SQL 中的变量值说“不”...）

改为使用PreparedStatement 和参数，然后将参数的值设置为您要查找的名称。例如：

String query = "SELECT * FROM Produkt WHERE name = ?";
PreparedStatement ps = hsqlmanager.getConnection().prepareStatement(query);
ps.setString(1, name);
ResultSet rs = ps.executeQuery();

请注意，您还应该在 finally 块中包含 close() 语句，以避免在引发异常时泄漏资源。

有关 HSQLDB 特定的详细信息，请参阅 HSQLDB 用户指南的 Data Access and Change 部分，或参阅 JDBC tutorial on prepared statements 了解更多通用信息。

Answer 2

您应该正确使用 PreparedStatements 来防止 SQL 注入。它还会在参数周围写上引号，这是必要的。

String query = "SELECT * FROM Produkt WHERE name=?";
PreparedStatement ps=hsqlmanager.getConnection().prepareStatement(query);
ps.setString(1, name);

Answer 3

您正在生成一个无效的 SQL 语句，您的 name 参数周围没有引号

String query = "SELECT * FROM Produkt WHERE name='" + name + "'";
                                                 ^--      ^^^^^^