java - JDBC插入语句不起作用

Question

我正在尝试创建一个在数据库中插入数据的java应用程序。申请相当简单。它从用户处获取 3 个输入并将该输入插入到数据库中。一切正常，但执行插入语句时出现 sql 错误。这是代码片段。

sa.executeUpdate("INSERT INTO history (to, subject, body)"+"VALUES("+ DATA1 + "','" + DATA2 + "','" +DATA3+ "')'");

我确信语句中的双引号和单引号有问题。

Answer 1

对于这种事情，您应该始终使用PreparedStatement。它会为您处理引用并保护您免受 SQL 注入(inject)攻击:

PreparedStatement statement = connection.prepareStatement("INSERT INTO history (to, subject, body) VALUES (?, ?, ?)");
statement.setString(1, DATA1);
statement.setString(2, DATA2);
statement.setString(3, DATA3);
statement.execute();

不仅如此，数据库驱动程序还可以编译和缓存准备好的语句，从而可能提高它们的效率。

请注意，setString 索引是从 1 开始的，而不是从 0 开始的。