为什么这个 SQL 语句会导致错误？

Question

我对此很生气，所以我向人群寻求帮助；）

我想做的：我们有一个 Unity 学习游戏，它应该实现一个登录窗口。然后对输入的凭据进行哈希处理（密码是）并发送到服务器，然后服务器应根据数据库进行检查。

我有下表：

xy.users_confirms 包含以下列：

id 用户名电子邮件密码哈希码创建

为什么我的代码

String sql = "SELECT " + "xy.users_confirms.password as pwhash, "
                        +"FROM xy.users_confirms "  +"WHERE xy.users_confirms.username = " +"\"userNameToGetHashFor\"";

引导我到 SQLException "Parameter index out of range (1 > number of parameters, which is 0)"

?

谢谢，非常感谢您的任何意见！

Answer 1

试试这个：

 String parameter = "'"+ strNameToGetHashFor + "'";
 String sql = "SELECT " + "xy.users_confirms.password as pwhash, "
             +"FROM xy.users_confirms "  
             +"WHERE xy.users_confirms.username ="+ parameter;

您使用varchar 值作为参数，因此需要像这样引用'username'。或者你可以使用Stored Procedure。

Answer 2

就个人而言，我会尝试直接在 phpmyadmin 中使用自定义查询框获取有效查询。一旦你有了一个有效的查询，你就可以用 java 重写它。

我会尝试将这样的语法写入 phpmyadmin 查询框：

SELECT password as pwhash
FROM xy.users_confirms
WHERE username ='userNameToGetHashFor'

使用上面的语法，我看不出你的错误可能会持续存在。

显示自定义查询框的 Phpmyadmin 屏幕截图：http://screencast.com/t/9h8anH0Aj （屏幕上的 2 个空文本框只是我隐藏了我的数据库信息）

Answer 3

pwhash 后面的逗号是一个潜在的原因：

       + "xy.users_confirms.password as pwhash*!*,*!* "

根据 DBMS，您可能还需要使用单引号而不是像这样的双引号：

       + "'userNameToGetHashFor'";

此外，此代码可能容易受到 SQL 注入攻击，因此您可能希望将 userNameToGetHashFor 作为参数而不是将字符串连接到 SQL 语句中。