sqlコマンドが正しく終了しなかったエラー

Question

これは学生の出席を更新するためのコードですが、実行中にこのメソッドはSQLコマンドが正しく終了しなかったエラーを返します。 UPDATE文単一引用符で

private void updateAttendance(){ 
     MyQuery mq=new MyQuery(); 
     Connection con=mq.getConnection(); 
     Statement st; 
     ResultSet rs; 
     try{ 
      st=con.createStatement(); 
      rs=st.executeQuery("Select STU_ID FROM STUDENT WHERE NAME='"+cmbName.getSelectedItem()+"'"); 
      if(rs.next()){ 
       //System.out.println("getting student name"); 
       int id=rs.getInt("STU_ID"); 
       String sql="UPDATE STUDENT SET SUBJECT='"+cmbSub.getSelectedItem()+"',ATTENDANCE='"; 
       //sql+="ATTENDANCE='"+""; 
       if(rdbtnPresent.isSelected()) 
        sql+= "'"+Atdnc[0]+"',"; 
       else 
        sql+= "'"+Atdnc[1]+"',"; 
       sql+="WHERE STU_ID='"+id+"'"; 
       st.executeUpdate(sql); 
       //cmbName.removeAllItems(); 
      } 

     }catch(SQLException ex){ 
      Logger.getLogger(Student.class.getName()).log(Level.SEVERE, null, ex); 
     } 

    } 

Answer 1

2倍の を使用している

String sql="UPDATE STUDENT SET SUBJECT='"+cmbSub.getSelectedItem()+"',ATTENDANCE="; 
if(rdbtnPresent.isSelected()) 
    sql+= "'"+Atdnc[0]+"'"; 
else 
    sql+= "'"+Atdnc[1]+"'"; 
sql+="WHERE STU_ID='"+id+"'"; 

以下'

ATTENDANCE='";から試しを削除私は強く SQL INJECTION

Answer 2

削除を避けるために、パラメータ化クエリを使用するrecomment見積もり（'）からATTENDANCE='";

Atdnc[0]とAtdnc[1]の後にカンマを削除すると、コードにwhere句の前にカンマが挿入されるためです。

stud_idが数字の場合は、idには引用符（'）を設定しないでください。 whereの前にスペースがあることを確認してください。 例：返品を確認するためにSQLを印刷することができます。