1. ホーム
  2. 質問と答え
  3. 新しい行を挿入するとSQL構文エラーが発生する

新しい行を挿入するとSQL構文エラーが発生する

2016-05-10 11 views
0

以下は、ユーザーが残高をクリックしたときのコードです。これは最初の部分で機能し、ユーザーの残高が正常に更新されますが、2番目のステートメントを実行しようとすると、SQL構文エラーが表示されます。問題の原因は何か?新しい行を挿入するとSQL構文エラーが発生する

public void mouseClicked(MouseEvent e) { 
      if (cal == true) { 
       try { 
       int balchange = updatebal; 
       String username = (String) userPicker.getSelectedItem(); 
       Connection conn = DriverManager.getConnection(Host, Name, Pass); 
       PreparedStatement pst = conn.prepareStatement("UPDATE table_1 SET user_bal='"+balchange+"' WHERE user_name='"+username+"'"); 
       pst.execute(); 


       String sign = "£"; 
       String PayName = textField_1.getText(); 
       PreparedStatement pst2 = conn.prepareStatement("INSERT INTO payment_info (payment_name, payment_amount, payment_date, username)"+" VALUES ('"+PayName+"', '"+sign+balchange+"', '"+Date+"', '"+username+"'"); 
       pst2.execute(); 
       cal = false; 
       } 
       catch (Exception e3) { 
       e3.printStackTrace(); 
       } 
      } 
      else { 
       JOptionPane.showMessageDialog(null, "Please use the Calculator First!"); 
      } 
     }

以下は、これを実行したときのスタックトレースです。ここで

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1 
at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method) 
at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:62) 
at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45) 
at java.lang.reflect.Constructor.newInstance(Constructor.java:422) 
at com.mysql.jdbc.Util.handleNewInstance(Util.java:404) 
at com.mysql.jdbc.Util.getInstance(Util.java:387) 
at com.mysql.jdbc.SQLError.createSQLException(SQLError.java:939) 
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:3878) 
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:3814) 
at com.mysql.jdbc.MysqlIO.sendCommand(MysqlIO.java:2478) 
at com.mysql.jdbc.MysqlIO.sqlQueryDirect(MysqlIO.java:2625) 
at com.mysql.jdbc.ConnectionImpl.execSQL(ConnectionImpl.java:2551) 
at com.mysql.jdbc.PreparedStatement.executeInternal(PreparedStatement.java:1861) 
at com.mysql.jdbc.PreparedStatement.execute(PreparedStatement.java:1192) 
at AdminPanelMain$7.mouseClicked(AdminPanelMain.java:444) 
at java.awt.Component.processMouseEvent(Component.java:6538) 
at javax.swing.JComponent.processMouseEvent(JComponent.java:3324) 
at java.awt.Component.processEvent(Component.java:6300) 
at java.awt.Container.processEvent(Container.java:2236) 
at java.awt.Component.dispatchEventImpl(Component.java:4891) 
at java.awt.Container.dispatchEventImpl(Container.java:2294) 
at java.awt.Component.dispatchEvent(Component.java:4713) 
at java.awt.LightweightDispatcher.retargetMouseEvent(Container.java:4888) 
at java.awt.LightweightDispatcher.processMouseEvent(Container.java:4534) 
at java.awt.LightweightDispatcher.dispatchEvent(Container.java:4466) 
at java.awt.Container.dispatchEventImpl(Container.java:2280) 
at java.awt.Window.dispatchEventImpl(Window.java:2750) 
at java.awt.Component.dispatchEvent(Component.java:4713) 
at java.awt.EventQueue.dispatchEventImpl(EventQueue.java:758) 
at java.awt.EventQueue.access$500(EventQueue.java:97) 
at java.awt.EventQueue$3.run(EventQueue.java:709) 
at java.awt.EventQueue$3.run(EventQueue.java:703) 
at java.security.AccessController.doPrivileged(Native Method) 
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(ProtectionDomain.java:76) 
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(ProtectionDomain.java:86) 
at java.awt.EventQueue$4.run(EventQueue.java:731) 
at java.awt.EventQueue$4.run(EventQueue.java:729) 
at java.security.AccessController.doPrivileged(Native Method) 
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(ProtectionDomain.java:76) 
at java.awt.EventQueue.dispatchEvent(EventQueue.java:728) 
at java.awt.EventDispatchThread.pumpOneEventForFilters(EventDispatchThread.java:201) 
at java.awt.EventDispatchThread.pumpEventsForFilter(EventDispatchThread.java:116) 
at java.awt.EventDispatchThread.pumpEventsForHierarchy(EventDispatchThread.java:105) 
at java.awt.EventDispatchThread.pumpEvents(EventDispatchThread.java:101) 
at java.awt.EventDispatchThread.pumpEvents(EventDispatchThread.java:93) 
at java.awt.EventDispatchThread.run(EventDispatchThread.java:82)

出典

2016-05-10 Michael Quinn

+2

https://docs.oracle.com/javase/tutorial/jdbc/basics/prepared.htmlのためのOracleドキュメントをだ - の構文に問題がより見えるようになりますそのように。パラメータを供給するために 'PreparedStatement'を使用することを検討してください。あなたのコードはSQLインジェクションに対して脆弱です。 – mustaccio

+1

実際に生成されたクエリを確認する必要があります。これは、SQLクエリの文字列連結の可能性が高いためです。パラメータを受け入れる*すべての*クエリにはプリペアドステートメントを使用する必要があります。このような状況を防ぐだけでなく、SQLインジェクションからコードを保護します。私の残高の変更が '0' - 'またはそれ以上の場合、 '10000000' --' ;-) – Siyual

答えて

3

Values句の2番目のクエリに閉じ括弧がありません。

クエリにパラメータを直接追加する代わりに、パラメータ化されたクエリを使用します。

public void mouseClicked(MouseEvent e) { 
    if (cal == true) { 
     try { 
     int balchange = updatebal; 
     String username = (String) userPicker.getSelectedItem(); 
     Connection conn = DriverManager.getConnection(Host, Name, Pass); 
     PreparedStatement pst = conn.prepareStatement("UPDATE table_1 SET user_bal=? WHERE user_name=?"); 

     pst.setInt(1, balchange); 
     pst.setString(2, username); 

     pst.execute(); 

     String sign = "£"; 
     String PayName = textField_1.getText(); 
     PreparedStatement pst2 = conn.prepareStatement("INSERT INTO payment_info (payment_name, payment_amount, payment_date, username)" 
     + " VALUES (?, ?, ?, ?)"); 

     pst2.setString(1, PayName); 
     pst2.setString(2, sign + balchange); 
     pst2.setString(3, "Date");//if it's date column use ps2.setDate(3, new Date()); 
     pst2.setString(4, username); 

     pst2.execute(); 
     cal = false; 
     } 
     catch (Exception e3) { 
     e3.printStackTrace(); 
     } 
    } 
    else { 
     JOptionPane.showMessageDialog(null, "Please use the Calculator First!"); 
    } 
}

これははるかにきれいになり、書きやすくなります。何よりも、SQL Injectionの攻撃からあなたを救うでしょう。あなたがそれらを実行する前に

は、ここでは、SQL文をプリントアウトすることができかもしれませパラメータ化クエリ

出典

2016-05-10 14:24:55 11thdimension

+0

これは完璧に働いてくれてありがとう、あなたが物事をレイアウトする方法を愛するこのレイアウトの種類を使用して開始されます。 –

+0

あなたは大歓迎です! – 11thdimension

2

ルック:

PreparedStatement pst2 = conn.prepareStatement("INSERT INTO payment_info (payment_name, payment_amount, payment_date, username)"+" VALUES ('"+PayName+"', '"+sign+balchange+"', '"+Date+"', '"+username+"'")

あなたがVALUES()ないVALUES(あるべきSQL文では、右ブラケットの欠如ように思えます。

ところで、mybatisまたはhibernateのようないくつかのORMシステムがあります。なぜ1つを選択しないのですか?彼らは仕事を減らすのを助けるだけでなく、データベースに簡単にアクセスできるようにすることもできます。

出典

2016-05-10 14:23:21

+0

これでもSQL構文エラーが表示されます。ユニークIDのIDを作成していない、または問題ではないと私に問題がリンクされている可能性がありますか? –

+0

それをデバッグし、実際のSQL文を投稿してください、それは間違っていることを知るのは簡単です。 –

+0

上記のPostは私の問題を解決することができましたが、ヘルプに感謝します。たった今stackoverflowを使い始めました。 –

関連する問題

 関連する問題