where 子句中的未知列 'sunny'

Question

  <body>
    <%  String name=session.getAttribute("user").toString();    %>

 <br>

  <%@ page import="java.sql.*" %>
  <%
   try
  {
   Class.forName("com.mysql.jdbc.Driver").newInstance();
   java.sql.Connection 
   con=DriverManager.getConnection
   ("jdbc:mysql://localhost:3306/pbl","root","");
   Statement st=con.createStatement();
   String q="select pcode ,pname,pprice from car where us="+name;
   ResultSet rs = st.executeQuery(q) ;
 %>

错误： java.sql.SQLSyntaxErrorException：您的 SQL 中有错误 句法;检查与您的 MariaDB 服务器相对应的手册 在第 1 行的“按名称”附近使用正确语法的版本

Answer 1

我猜是这一行的问题 String q="select pcode,pname,pprice from car where us="+name;

是的，因为名称（显然是 sunny）不在 SQL 引号中，所以它看起来像列引用。

从不使用字符串连接将值添加到 SQL 查询。请改用prepared statements：

PreparedStatement ps = con.prepareStatement("select pcode ,pname,pprice from car where us = ?");
ps.setString(1, name);
ResultSet rs = ps.executeQuery();

这样，信息将作为数据处理，而不是作为 SQL（必要时适当转义等）。需要注意的地方：

1. 您在值所在的位置使用?。您不要将? 放在引号或任何东西中，即使您打算使用字符串作为值。
2. 您可以通过在连接上调用 prepareStatement 来获得准备好的语句。
3. 您不要将字符串传递给executeQuery。 （这很重要，因为遗憾的是，您可以在PreparedStatement 上将字符串传递给executeQuery，这绕过了使用准备好的语句的全部意义；它应该被定义为导致异常，但是遗憾的是它不是。）

让我给你介绍my friend Bobby：