您将用户名直接插入SQL,而无需转义,甚至不加引号。我认为您只是错过了撇号。
为防止SQL注入问题,切勿从动态数据中插入SQL字符串常量,始终使用PreparedStatement并插入标记。
另外,可以转义值,但是使用标记更加安全,并允许数据库缓存已编译的SQL语句,从而提高了SQL性能。
String updateQuery = "UPDATE " + USER_TABLE + " SET " + USER_TABLE_FIRST_NAME + "=IFNULL(? ," + USER_TABLE_FIRST_NAME + ")," +USER_TABLE_LAST_NAME + "=?," +USER_TABLE_about_ME + "=?," +USER_TABLE_CITY + "=?," +USER_TABLE_DOB + "=?" + " WHERe " + USER_TABLE_ID + "=?";PreparedStatement stmt = conn.prepareStatement(updateQuery);stmt.setString(1, user.getFirstName());stmt.setString(2, user.getLastName());stmt.setString(3, user.getaboutMe());stmt.setString(4, user.getCity());stmt.setString(5, user.getDateOfBirth());stmt.setString(6, user.getUserId());
注意: 答案已扩展至涵盖空检查问题。
当您使用简单的字符串注入时,对于非空值
"A='" + name + "'"变为null值,这绝对不是您想要的。
A='Joe'``A='null'
通过使用参数标记,
?can 的值可以为
null,这意味着
IFNULL(?, Name)将给出所需的确切行为,即使用
?when
的值不为null以及
NAMEwhen的
?值为null。
