带有 where 子句的 SQL 选择语句

Question

如果没有硬编码值，我将如何编写这个 sql 语句？

resultSet = statement
    .executeQuery("select * from myDatabase.myTable where name = 'john'");
// this works

有类似的东西：

String name = "john"; 
resultSet = statement
    .executeQuery("select * from myDatabase.myTable where name =" + name);
// Unknown column 'john' in 'where clause' at
// sun.reflect.NativeConstructorAccessorImpl.newInstance0...etc...

提前谢谢..

Answer 1

以目前的方式构建 SQL 查询是一个糟糕的想法，因为它为各种 SQL 注入攻击打开了大门。要正确执行此操作，您必须改用Prepared Statements。这也将解决您目前显然遇到的各种逃避问题。

PreparedStatement statement = connection.prepareStatement("select * from myDatabase.myTable where name = ?");    
statement.setString(1, name);    
ResultSet resultSet = statement.executeQuery();

请注意，prepareStatement() 是一个昂贵的调用（除非您的应用程序服务器使用语句缓存和其他类似工具）。从理论上讲，最好只准备一次语句，然后多次重复使用它（虽然 不是 同时）：

String[] names = new String[] {"Isaac", "Hello"};
PreparedStatement statement = connection.prepareStatement("select * from myDatabase.myTable where name = ?");

for (String name: names) {
    statement.setString(1, name);    
    ResultSet resultSet = statement.executeQuery();
    ...
    ...
    statement.clearParameters();
}

Answer 2

您的字符串周围缺少单引号，您的代码已更正：

String name = "john";
String sql = "select * from myDatabase.myTable where name = '" + name + "'";
// Examine the text of the query in the debugger, log it or print it out using System.out.println
resultSet = statement.executeQuery(sql);

在执行查询之前打印/记录查询的文本以查看它是否正常。

如果您要做很​​多类似的查询，只有常量发生变化，请考虑使用prepared statements

Answer 3

这应该可行：

String name = "john"; 
resultSet = statement
    .executeQuery("select * from myDatabase.myTable where name =" + "'" + name + "'");

Answer 4

您需要在值周围加上引号（'john' 而不是 john）...

Answer 5

尝试以下方法：

String name = "john"; 

resultSet = statement
      .executeQuery("select * from myDatabase.myTable where myTable.name = '" + name + "'");

Answer 6

在您的 name 值周围加上引号，因为它是一个字符串。

"select * from myDatabase.myTable where name ='" + name + "'"