無法從 MySQL 數據庫中刪除記錄
[英]Can't delete record from MySQL database
問題描述
試圖從我的數據庫中刪除記錄,但我收到錯誤“'where 子句'中的未知列'”。
private void deleteUser() {
String query = "DELETE FROM user WHERE Name =" + tfemail.getText() + "";
executeQuery(query);
showUsers();
}
2 個解決方案
解決方案1
1 2020-12-16 10:54:01
您不能以這種方式編寫查詢。 想象一下有人在tfemail字段中輸入以下文本:
"Joe' OR FALSE"
讓我們看看這會對您的 SQL 查詢產生什么影響:
DELETE FROM user WHERE Name = 'Joe' OR FALSE;
再見,數據庫!
一些 dbs 允許您在運行 db 引擎的服務器上執行一些東西。 這意味着這個技巧可以用來完全破解機器或完全格式化磁盤。 再見,整台機器。
這也意味着需要刪除您的executeQuery方法 - 抽象('這里有一些 SQL,請運行它')很少有用(因為它不能包含任何用戶輸入),並誘使您編寫安全漏洞。
解決方案是准備好的語句:
PreparedStatement ps = con.prepareStatement("DELETE FROM user WHERE Name = ?");
ps.setString(1, "Joe");
ps.executeUpdate();
這解決了您的問題,並且安全地解決了 - ps.setString(1, "Joe' OR FALSE"); 現在不再是問題(DB 引擎或 JDBC 驅動程序保證它會解決問題;效果將是刪除用戶表中字面上讀取“Joe' OR FALSE”的條目)。
此外,將密碼存儲在數據庫中不是一種可接受的策略。 解決方案是例如 bcrypt:使用專門設計用於存儲密碼的散列算法。
解決方案2
-1 2020-12-16 10:19:36
String query = "DELETE FROM user WHERE Name ='" + tfemail.getText() + "'"; ^ ^ |___________add___________|
使用Play Framework Java從MySQL數據庫中刪除所有記錄
[英]Delete all record from MySQL database using play framework java
使用executeupdate從mysql數據庫(netbeans)中刪除記錄
[英]using executeupdate to delete record from mysql database(netbeans)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.