java - Java sql 查询手动工作，但不在 Java 代码中执行

Question

所以我想在数据库中添加一些东西，但它不起作用，它不会做this.statement.executeUpdate(sqlQuery);。如果我打印出sqlQuery并在 phpMyAdmin 中调用它，它就可以工作。

我有几个数据库迭代，类似于这个，工作得很好，但是这个随机没有。

SQL查询：

INSERT INTO tvshows (title, plot, poster, imdb_rating, imdb_url, imdb_id, release_date) 
VALUES('The Office', 'A mockumentary on a group of typical office workers, where the workday consists of ego clashes, inappropriate behavior, and tedium. Based on the hit BBC series.', 'http://ia.media-imdb.com/images/M/MV5BMTgzNjAzMDE0NF5BMl5BanBnXkFtZTcwNTEyMzM3OA@@._V1._SY317_CR9,0,214,317_.jpg', '8.9', 'http://www.imdb.com/title/tt0386676/', 'tt0386676', '2005-06-11')

代码：

public boolean insert_tvShow(TvShow tvShow) {

    boolean success = false;
    String plot = tvShow.getPlot();
    plot = plot.replaceAll("'", "''");

    try {
        this.statement = this.connection.createStatement();
        String sqlQuery = String.format("INSERT INTO tvshows (title, plot, poster, imdb_rating, imdb_url, imdb_id, release_date) " +
                                        "VALUES('%s', '%s', '%s', '%s', '%s', '%s', '%s')",
                                        tvShow.getTitle(),
                                        plot,
                                        tvShow.getPoster(),
                                        tvShow.getImdb_Rating(),
                                        tvShow.getImdb_url(),
                                        tvShow.getImdb_id(),
                                        tvShow.getReleaseDate());
        System.out.println(sqlQuery);
        this.statement.executeUpdate(sqlQuery);
        success = true;
    } catch(Exception e) {

    } finally {
        try {
            connection.close();
        } catch (SQLException e) {}
    }

    return success;
}

编辑：

好的，我从现在开始使用 PreparedStatement。但我仍然不会让代码执行。由于我没有错误，我无法知道。可能一个原因是我的 release_date，所以我尝试在没有它的情况下让它工作。“ps.executeUpdate();” 是代码到达的地方。

public boolean insert_tvShow(TvShow tvShow) {

    boolean success = false;
    java.util.Date myDate = new java.util.Date("10/10/2009");

    try {
        String sqlString = "INSERT INTO tvshows (title, plot, poster, imdb_rating, imdb_url, imdb_id, release_date) " +
                            "VALUES(?, ?, ?, ?, ?, ?, ?)";
        PreparedStatement ps = connection.prepareStatement(sqlString);
        ps.setString(1, tvShow.getTitle()); 
        ps.setString(2, tvShow.getPlot()); 
        ps.setString(3, tvShow.getPoster()); 
        ps.setDouble(4, tvShow.getImdb_Rating()); 
        ps.setString(5, tvShow.getImdb_url()); 
        ps.setString(6, tvShow.getImdb_id());
        ps.setDate(7, new java.sql.Date(myDate.getTime()));
        ps.executeUpdate();
        connection.commit();
        success = true;
    } catch(Exception e) {
        //TODO logging
    } finally {
        try {
            connection.close();
        } catch (SQLException e) {}
    }
    return success;
}

score 3 · Accepted Answer

您的代码很容易受到 SQL 注入攻击。如果有人进入了一个名为'; 放下电视节目；' 例如，您认为会发生什么？

使用参数：

    PreparedStatement ps = this.connection.prepareStatement("INSERT INTO tvshows (title, plot, poster, imdb_rating, imdb_url, imdb_id, release_date) VALUES(?,?,?,?,?,?,?)");

    ps.setString(1, tvShow.getTitle());
    ps.setString(2, tvSHow.getPlot();
    //etc...

    ps.executeUpdate();

score 2 · Accepted Answer

永远不要这样做：

 String sqlQuery = String.format("INSERT INTO tvshows (title, plot, poster, imdb_rating, imdb_url, imdb_id, release_date) " +
                                        "VALUES('%s', '%s', '%s', '%s', '%s', '%s', '%s')",
                                        tvShow.getTitle(),
                                        plot,
                                        tvShow.getPoster(),
                                        tvShow.getImdb_Rating(),
                                        tvShow.getImdb_url(),
                                        tvShow.getImdb_id(),
                                        tvShow.getReleaseDate());

用这个替换它：

    PreparedStatement statement = conn.prepareStatement("INSERT INTO tvshows (title, plot, poster, imdb_rating, imdb_url, imdb_id, release_date) " +
                                                "VALUES(?,?,?,?,?,?,?)";
statement.setString(1,"title");  
//rest of setters here  
statement.execute();  
conn.commit();

score 1 · Accepted Answer

最有可能的问题是发布日期。数据库对它们如何接受日期和时间很挑剔。您不能只将看起来像日期的字符串塞入 SQL 查询中。

我建议使用适当的 JDBC 方法，即 PreparedStatement.setTimestamp，它使 JDBC 驱动程序能够将表示日期的 Java 对象转换为数据库将接受的结构。

http://docs.oracle.com/javase/6/docs/api/java/sql/PreparedStatement.html#setTimestamp(int , java.sql.Timestamp)

在您阅读了 PrepatedStatement 接口之后，我可以建议您研究一下 SQL 注入吗？

http://en.wikipedia.org/wiki/SQL_injection

由于一些评论提到了 Bobby Tables，这里有一些关于 Little Bobby 的信息。

http://bobby-tables.com/

score 1 · Accepted Answer

使用PreparedStatement：

    String sqlQuery = "INSERT INTO tvshows (title, plot, poster, imdb_rating, imdb_url, imdb_id, release_date) VALUES(?, ?, ?, ?, ?, ?, ?)";
    final PreparedStatement preparedStatement = conn.prepareStatement(sqlQuery);
    preparedStatement.setString(1, tvShow.getTitle());
    preparedStatement.setString(2, plot);
    preparedStatement.setString(3, tvShow.getPoster());
    preparedStatement.setString(4, tvShow.getImdb_Rating());
    preparedStatement.setString(5, tvShow.getImdb_url());
    preparedStatement.setString(6, tvShow.getImdb_id());
    preparedStatement.setString(7, tvShow.getReleaseDate());

永远不要使用String.

String使用容易受到SQL 注入攻击的查询构建。他们也容易出现String转义问题，例如'您的示例中的问题。

java - Java sql 查询手动工作，但不在 Java 代码中执行

4 回答 4

Related

Reference