錯誤1064：SQL語法錯誤

Question

我在Java代碼中的SQL代碼，看起來像這樣：

Connection con = null; 
     PreparedStatement pstmt = null; 
     ResultSet rs = null; 
     beforeExerTestDTO dto = new beforeExerTestDTO(); 

     StringBuffer sql = new StringBuffer(); 
     sql.append(" select * "); 
     sql.append(" from n_before_exer "); 
     sql.append(" where id=?"); 
     sql.append(" and reg_date = (select max(reg_date) from n_before_exer where id=?)"); 

     try { 
      con = pool.getLocalConnection(); 
      pstmt = con.prepareStatement(sql.toString()); 
      pstmt.setString(1, id); 
      pstmt.setString(2, id); 
      System.out.println("여기까진 살까??"); 
      rs = pstmt.executeQuery(); 
      /...... 
      ...... some code/
      }catch(SQLException e){ 
      System.out.println("read : " + e); 
      System.out.println("read : " + sql); 
     }catch(Exception e){ 
      System.out.println("read : " + e.getStackTrace().toString()); 
     }finally{ 
      DBClose.close(con, pstmt, rs); 
     } 
     return dto; 
} 

當文件被執行它形成了這樣的說法在控制檯：

select * from n_before_exer where id=? and reg_date = (select max(reg_date) from n_before_exer where id=?) 

，並拋出一個

java.sql.SQLEXCEPTION

我試了一下：

1. 我跑在MySQL Workbench中查詢相同：

，並得到了以下錯誤：

Error Code: 1064. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '? and reg_date = (select max(reg_date) from n_before_exer where id=?)' at line 1

的研究課題顯示位：

1. 這種方式是不是首選的方式，因爲它可能導致注入攻擊
2. 並建議使用佔位符作爲參數

這似乎有點複雜，我，如果有人能幫助我建立這個說法在正確的首選方式，請

感謝

Answer 1

您應該使用一個事先準備好的聲明：

Connection con; // get a connection 
PreparedStatement ps = con.prepareStatement(sql); 
ps.setInt(1, someInt); 
ps.setInt(2, someOtherInt); 

ResultSet rs = ps.executeQuery(); 
while (rs.next()) { 
    // process each record 
} 

Answer 2

您的語句在語法上看起來很正確。你有編碼問題，你的Java文件？

Answer 3

pstmt.setString（1，id）;

我想這個問題是ID的類型不是字符串，你可以使用它來試試：「？」