JavaとSQLのprepareStatementエラー（範囲外のパラメータインデックス）

Question

私はすでにstackoverflowの、インターネットの他の部分を探索したが見つけるcouldntの

java.sql.SQLException: Parameter index out of range (2 > number of parameters, which is 1). 

を投げる私のコードの一部を修正しようとしてきました解決策は、エラーを修正しました。

これは、クラスファイルの先頭である：

PreparedStatement stmt; 

そして、これが私の建設業者である：

public DataAccessObjectImpl() throws Exception { 
    this.conn = new DBConnector(); 
} 

これは、メソッドのthatsですが、問題を引き起こす：

@Override 
public boolean addAlbum(int UID, String artist, String album) { 
    String sql = ""; 

    try { 
     stmt = conn.getConnection().prepareStatement("INSERT INTO music (identifier, UID, artist, album) VALUES (?,?,?,?);"); 
     stmt.setString(1, getNewIdentifier()); 
     stmt.setInt(2, UID); 
     stmt.setString(3, artist); 
     stmt.setString(4, album); 
     stmt.executeUpdate(); 
    } catch (Exception ex) { 
     System.out.println("nugget 1 : " + ex); 
    } finally { 
     try { 
      if (stmt != null) { 
       stmt.close(); 
       return true; 
      } 
     } catch (Exception e) { 
      System.out.println("Nugget 2 : " + e); 
     } 
    } 
return false; 
} 

（ 「ナゲット」という言葉は、ログ/コンソールで自分自身にとって簡単に見つけることができる）

私はstackoverflowに集めることができたから、おそらく私の疑問符はthats問題ですが、私はどのように把握することができないようです。同じクラスでうまく動作している他のメソッドに対しては、prepareStatementを使用しました。

---

私は以下のダウン提供されるいくつかの作業コードを持って、私はSQLインジェクションにパッチを適用するのprepareStatementでこのコードを置き換えたい：

try { 
     stmtb = conn.getConnection().createStatement(); 
      sql = "INSERT INTO music VALUES ('" + getNewIdentifier() + "','" + UID + "','" + artist + "','" + album + "')"; 
     } catch (SQLException ex) { 
     } 
     try { 
      stmt.executeUpdate(sql); 
      return true; 
     } catch (Exception e) { 
      System.out.println(e); 
     } 
return false; 

は、高度にありがとうございます！

この行を変更することにより、固定

---

：

stmt = conn.getConnection().prepareStatement("INSERT INTO music (identifier, UID, artist, album) VALUES (?,?,?,?);"); 

と私はこれにそれを変更：

PreparedStatement stmt = conn.getConnection().prepareStatement("SELECT * FROM user WHERE username = (?);"); 

と、この行を削除：

PreparedStatement stmt; 

がためにあなたにKayamanありがとう手伝い！

Answer 1

クエリは正しいものの例外が発生するため、stmtが何らかの形で壊れている可能性があります。唯一の現実的な状況は、クエリを実行するために同じstmtを使用する複数のスレッドを持つマルチスレッド環境にあります。

新しいPreparedStatementオブジェクトを作成するのにprepareStatement()を使用しているため、「グローバル」参照を共有する理由はありません。ほとんどの場合、できるだけ小さな範囲で変数を定義して使用することがベストプラクティスです。

したがって、外側のスコープからstmt変数を削除し、代わりにあなたがする必要がある、これまで

PreparedStatement stmt = conn.getConnection().prepareStatement(query); 

を書きます。

Answer 2

それは''

sql = "INSERT INTO music VALUES ('" + getNewIdentifier() + "','" + UID + "','" + artist + "','" + album + "')"; 

に囲まれているので作品のクエリでは、UIDは、VARCHARのようにしてください渡され、再検査のデータベーススキーマとUIDがINTEGERであることを確認してください。また、あなたは、単純なStatement動作を再現する

stmt.setString(2, Integer.toString(UID)); 

で

stmt.setInt(2, UID); 

を交換しようとするかもしれません。