SQL 错误列计数与第 1 行的值计数不匹配

Question

我是否遗漏了以下错误，以将以下内容插入到具有四列 message_id（自动递增）message_sender、message_reciever、message_body 的表中。我检查了类似的问题，但没有找到解决方案。 '''

        <% String sender_id = request.getParameter("message_sender");
        String reciever_id = request.getParameter("message_reciever");
        String message = request.getParameter("message_body");

        try{
        Class.forName("com.mysql.jdbc.Driver");
        Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/fyp", "root", "Kmd116352323!");
        Statement st = con.createStatement();

        st.executeUpdate("INSERT INTO messages(message_sender,message_reciever,message_body) VALUES('"+sender_id+", "+reciever_id+" , "+message+" ')");

        out.println("Your request has been noted."
                + " Please return to your user profile or log out");

        } catch(Exception e){
        out.println(e);
                }
        %>

Answer 1

您不应将值连接到查询字符串中。它使您的代码容易受到 SQL 注入或忘记值引号等错误的影响。您的具体问题是，您在第一个值之前有一个引号，在最后一个值之后有一个引号，这使其成为单个值而不是三个单独的值。

但是，您应该改用准备好的语句，而不是通过添加那些缺少的引号来解决眼前的问题：

try (PreparedStatement pstmt = connection.prepareStatement(
        "INSERT INTO messages(message_sender,message_reciever,message_body) VALUES(?, ?, ?)") {
    pstmt.setString(1, sender_id);
    pstmt.setString(2, reciever_id);
    pstmt.setString(3, message);

    pstmt.executeUpdate();
}

顺便说一句，您真的不应该将数据访问放在 JSP 中。它属于 DAO 或服务类。

Answer 2

这是不正确的：

VALUES('"+sender_id+", "+reciever_id+" , "+message+" ')

您有一个 ' 包装所有值...这意味着 sql 会认为您只发送 1 个值。如果它们都是文本值，它应该是这样的：

VALUES('"+sender_id+"', '"+reciever_id+"' , '"+message+"')

如果您知道某些值是 INT 类型，那么您不需要为该值使用 '：

VALUES("+sender_id+", "+reciever_id+" , '"+message+"')

文本值需要用'包装