Question

我编写了一个程序，它在mysql数据库中搜索给定的hindi单词并检索存储在数据库中的英文对应的名称。当我在select语句中直接给出hindi单词时，它工作正常但是我想用变量给它，所以它可能更一般但我没有得到相同的结果..可以任何人帮我解决它...感谢adavance

这是我写的代码

import java.sql.DriverManager;
import java.sql.Connection;
import java.sql.SQLException;
import com.microsoft.sqlserver.jdbc.*;
import java.sql.*;

public class Example {

public static void main(String[] argv) {


    try {

        Class.forName("com.mysql.jdbc.Driver");

        } 
    catch (ClassNotFoundException e) 
        {

        System.out.println("Where is your MySQL JDBC Driver?");
        e.printStackTrace();
        return;

        }


    Connection connection = null;

                         SQLServerDataSource dataSource = new SQLServerDataSource();
                                 dataSource.setServerName("COMP-PC");
                                dataSource.setPortNumber(1433);
                              dataSource.setDatabaseName("concept");
                              dataSource.setUser("root");
                            dataSource.setPassword("abc");

        try
         {
        connection = dataSource.getConnection();
        connection.setAutoCommit(false);
        System.out.println("Connected to server !!!");
         Statement select = connection.createStatement();
         String var="N'हल्दी'";

     ResultSet result = select.executeQuery



               ("SELECT Name, Id FROM MConcept where CName=N'हल्दी'");  
     **// When given like the above statement it works fine 



                 ("SELECT Name, Id FROM MConcept where CName='"+var+" ' "); 
    **//This does not give result 


      System.out.println("Got results:");
      while(result.next()) { // process results one row at a time

      String Name = result.getString(1);
      int ID = result.getInt(2);

       System.out.println("name = " + Name);
       System.out.println("id = " + ID);
       }
      select.close();
     connection.close();
      }




  catch (SQLException e)
  {
   System.out.println("Connection Failed! Check output console");
   e.printStackTrace();
   return;
   }

    if (connection != null)
     {
    System.out.println("Successfully connected!");

     } 
   else 
    {
System.out.println("Failed to make connection!");
    }


   }
 }

Answer 1

你的第二个陈述不正确。

应该是

"SELECT Name, Id FROM MConcept where CName=" + var

但我强烈建议使用PreparedStatement并阅读这个SQL注入的警示故事 - ＆gt; http://xkcd.com/327/

Answer 2

你有额外的报价;它们都在var和SQL中。

您的工作示例是：

("SELECT Name, Id FROM MConcept where CName=N'हल्दी'");

虽然您的破坏示例评估为：

("SELECT Name, Id FROM MConcept where CName='N'हल्दी' ' ");

这可能不仅没有给出结果，而且应该导致关于SQL语法的错误消息，因为你有一些字符串文字'N'，后面跟着一些编码中的不带引号的印地语字符和一个新字符串中的空格。

通过连接字符串来构建SQL也是一个非常糟糕的习惯;确保在值来自用户输入而不是像示例中那样进行硬编码时，永远不会这样做。

从数据库中检索印地文字符

2 个答案: