当我清楚地识别出变量时,Oracle一直给我一个无效的标识符错误。
//get parameters from the request
String custID=request.getParameter("cust_ID");
String saleID=request.getParameter("sale_ID");
String firstName=request.getParameter("first_Name");
String mInitial=request.getParameter("mI");
String lastName=request.getParameter("last_Name");
String streetName=request.getParameter("street");
String city=request.getParameter("city");
String state=request.getParameter("state");
String zipCode=request.getParameter("zip_Code");
String DOB2=request.getParameter("DOB");
String agentID=request.getParameter("agent_ID");
String homePhone=request.getParameter("home_Phone");
String cellPhone=request.getParameter("cell_Phone");
String profession=request.getParameter("profession");
String employer=request.getParameter("employer");
String referrer=request.getParameter("referrer");
query =
"UPDATE customer"
+ " SET customer.cust_ID=custID, customer.sale_ID=saleID, customer.first_Name=firstName, customer.mI=mInitial, customer.last_Name=lastName, customer.street_Name=streetName, customer.city=city, customer.state=state, customer.zip_Code=zipCode,customer. DOB=DOB2, customer.agent_ID=agentID, customer.home_Phone=homePhone, customer.cell_Phone=cellPhone, customer.profession=profession, customer.employer=employer, customer.referrer=referrer"
+ " WHERE customer.cust_ID=custID " ;
preparedStatement = conn.prepareStatement(query);
preparedStatement.executeUpdate();
SQL TABLE
CREATE TABLE customer
(cust_ID NUMBER NOT NULL,
sale_ID NUMBER NOT NULL,
first_NameVARCHAR2(30) NOT NULL,
mI VARCHAR2(2) ,
last_Name VARCHAR2(50) NOT NULL,
street_Name VARCHAR2(50) ,
city VARCHAR2(30) NOT NULL,
state VARCHAR2(50) NOT NULL,
zip_Code VARCHAR2(5) NOT NULL,
DOB DATE ,
agent_ID NUMBER ,
home_Phone VARCHAR2(12) UNIQUE,
cell_Phone VARCHAR2(12) UNIQUE,
profession VARCHAR2(30) ,
employer VARCHAR2(30) ,
referrer VARCHAR2(30)
);
答案 0 :(得分:6)
您的代码没有按照您的想法执行。看看这个:
query =
"UPDATE customer"
+ " SET customer.cust_ID=custID, customer.sale_ID=saleID, customer.first_Name=firstName, customer.mI=mInitial, customer.last_Name=lastName, customer.street_Name=streetName, customer.city=city, customer.state=state, customer.zip_Code=zipCode,customer. DOB=DOB2, customer.agent_ID=agentID, customer.home_Phone=homePhone, customer.cell_Phone=cellPhone, customer.profession=profession, customer.employer=employer, customer.referrer=referrer"
+ " WHERE customer.cust_ID=custID "
此时query的内容正好将发送到数据库的内容。在将查询发送到数据库之前,JSP将不为您神奇地填充custID,saleID(等等)。因此,Oracle对于custID是什么(它当然不是customer表中某些其他列的名称)没有任何线索。因此,您收到无效的标识符错误。
我想你试图这样做:
query =
"UPDATE customer"
+ " SET customer.cust_ID=" + custID + ", customer.sale_ID=" + saleID + ...
与duffymo提到的一样,这就是要求严重的SQL注入问题(只需考虑客户端可以提交的值,以便通过custID字段劫持您的SQL)。更好的方法是在PreparedStatement上使用参数:
query =
"UPDATE customer"
+ " SET customer.cust_ID=?, customer.sale_ID=? ...";
PreparedStatement statement = conn.prepareStatement(query);
statement.setString(1, custID);
statement.setString(2, saleID);
statement.executeUpdate();
答案 1 :(得分:5)
我建议不要在JSP中使用scriplets。尽快学习JSTL。
答案似乎很明显:您的参数都是字符串,但Oracle架构有一些数据和数字类型。 INSERT时必须转换为正确的类型。
此代码正在请求SQL注入攻击。在INSERT之前,您不进行任何绑定或验证。你不可能没有这个安全。我希望你不打算在网上使用这个网站。
更好的方法是将scriptlet代码从JSP中取出,仅使用JSTL编写它,并引入servlet和其他一些层来帮助进行绑定,验证,安全性等。
答案 2 :(得分:2)
我认为在sql查询中,您已在客户DOB之间输入了空格。
客户。 DOB = DOB2