Derby 데이터베이스 예외 업데이트

Question

나는 더비 데이터베이스에서 환자를 업데이트하기 위해이 코드를 작성했지만 SQLSyntaxErrorException을 던졌습니다. 내가 놓친 게 있니?

public void updateInDatabase(int ID,String sex, String firstName, String familyName, String eMail) { 
    try { 
     String sql = "UPDATE PATIENT SET sex = "+ sex +" WHERE NR = "+ID; 
     st.executeUpdate(sql); 
     String sq2 = "UPDATE PATIENTEN SET FIRSTNAME=" + firstName + "WHERE NR=" + ID; 
     st.executeUpdate(sq2); 
     String sq3 = "UPDATE PATIENTEN SET FAMILYNAME=" + familyName + "WHERE NR=" + ID; 
     st.executeUpdate(sq3); 
     String sq4 = "UPDATE PATIENTEN SET EMAIL=" + eMail + "WHERE NR=" + ID; 
     st.executeUpdate(sq4); 
    } catch (SQLException ex) { 
     Logger.getLogger(DbManagerPatienten.class.getName()).log(Level.SEVERE, null, ex); 
    } 
} 

Answer 1

주요 실수는 당신이 당신에게 SQL Injection 공격에 취약를 떠나 문자열 연결을 사용하는 것입니다.

귀하의 실수는 텍스트 값을 인용하지 않았기 때문입니다.

이

UPDATE PATIENT SET sex = male WHERE NR = 42 

가 문 있었어야 :

UPDATE PATIENT SET sex = 'male' WHERE NR = 42 

그러나, 자바에서이 작업을 수행하는 올바른 방법입니다 sql 자바 문 결과는 다음과 같은 SQL 문을 갖는

String sql = "UPDATE PATIENT SET sex = "+ sex +" WHERE NR = "+ID; 

PreparedStatement을 사용하고 try-with-resources를 사용하십시오.

• The Java™ Tutorials - Using Prepared Statements
• The Java™ Tutorials - The try-with-resources Statement

String sql = "UPDATE PATIENT" + 
       " SET SEX = ?" + 
        ", FIRSTNAME = ?" + 
        ", FAMILYNAME = ?" + 
        ", EMAIL = ?" + 
      " WHERE NR = ?"; 
try (PreparedStatement stmt = conn.prepareStatement(sql)) { 
    stmt.setString(1, sex); 
    stmt.setString(2, firstName); 
    stmt.setString(3, familyName); 
    stmt.setString(4, eMail); 
    stmt.setInt (5, ID); 
    int updateCount = stmt.executeUpdate(); 
    if (updateCount == 0) 
     throw new IllegalArgumentException("Patient not found: " + ID); 
}