查詢中的MySQLSyntaxErrorException

Question

session.getAttribute('loginId')//giving 1

ResultSet rs=st.executeQuery("select * from interest where loginid='session.getAttribute('loginId')'");

要么

ResultSet rs=st.executeQuery("select * from interest where loginid='session.getAttribute("loginId")'");

這給了我sql異常。

我的查詢有什么問題？ 而-

ResultSet rs=st.executeQuery("select * from interest where loginid='1'");

運行良好。

我不能通過在字符串對象中存儲loginId來調用它。

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'loginId')'' at line 1

Answer 1

傳遞從getAttribute返回的值，而不是原義值session.getAttribute('loginId')

PreparedStatement preparedStatement = 
            conn.prepareStatement("select * from interest where loginid=?");
preparedStatement.setString(1, session.getAttribute("loginId"));

Answer 2

您必須合並字符串。 不將參數包含在一個字符串中：

改成：

ResultSet rs=st.executeQuery("select * from interest where loginid='"+session.getAttribute("loginId")+"'");

或更好地使用准備好的語句。 它防止您進行sql注入，並且您的查詢將更易於閱讀。