Question

Ich möchte eine SQL-Abfrage schreiben, die Parameter von einer JSP enthält. Ich habe versucht, es wie dieses

String sqlstring = "\"select"+Activity+" from backgroundcost where onpremprice =' " 
         +service+" '\""; 
PreparedStatement ps = con.prepareStatement(sqlstring); 
ResultSet rs = ps.executeQuery(); 

Ich erhalte eine Fehlermeldung.

Answer 1

Nicht ist die kurze Antwort. Es ist ein schlechtes Design, Datenbanklogik in Ihrer Ansicht zu haben. Übergeben Sie die Params von Ihrem JSP zu einem Back-End-Java-Bean und lassen Sie die Abfrage

Answer 2

Zunächst hoffe ich, dass Sie service ist eine Variable, die von einer Form Ihrer JSP kommt, dass diese Variable endet in Ihr Controller und dass Ihr Controller den Zugriff auf die Datenbankebene an eine andere Klasse delegiert.

Es gibt mehrere Probleme mit Ihrer Anfrage:

1. Sie verwenden Anführungszeichen in Ihrer SQL-Abfrage, Sie sollten nicht.
2. Was ist Activity? Vermutlich vermissen Sie ein Leerzeichen zwischen "Auswahl" und dem Wert von "Aktivität"

3. Das Ziel einer "PreparedStatement" ist SQL Injection zu vermeiden. Sie MÜSSEN den Code, den ich unten zeige, anstelle Ihres Parameters verwenden, der direkt in Ihre gebaute SQL-Anweisung eingefügt wird.

4. Betrachten StringBuilder verwenden, wenn Sie mehrere String Verkettungen

"

String sqlstring = "select activity from backgroundcost where onpremprice = ?"; 

PreparedStatement ps = con.prepareStatement(sqlstring); 
ps.setString(1, service); 
ResultSet rs = ps.executeQuery(); 

Answer 3

es so ..

String sqlstring = "select * from backgroundcost where onpremprice ='"+service+" '"; 
PreparedStatement ps = con.prepareStatement(sqlstring); 
ResultSet rs = ps.executeQuery(); 

// anstelle von * machen haben, können Sie Geben Sie den Spaltennamen ein, der ausgewählt werden soll.