derbyデータベースの例外を更新する

Question

私はderbyデータベースの患者を更新するためにこのコードを書いたが、それはSQLSyntaxErrorExceptionを投げる。何か不足していますか？

public void updateInDatabase(int ID,String sex, String firstName, String familyName, String eMail) { 
    try { 
     String sql = "UPDATE PATIENT SET sex = "+ sex +" WHERE NR = "+ID; 
     st.executeUpdate(sql); 
     String sq2 = "UPDATE PATIENTEN SET FIRSTNAME=" + firstName + "WHERE NR=" + ID; 
     st.executeUpdate(sq2); 
     String sq3 = "UPDATE PATIENTEN SET FAMILYNAME=" + familyName + "WHERE NR=" + ID; 
     st.executeUpdate(sq3); 
     String sq4 = "UPDATE PATIENTEN SET EMAIL=" + eMail + "WHERE NR=" + ID; 
     st.executeUpdate(sq4); 
    } catch (SQLException ex) { 
     Logger.getLogger(DbManagerPatienten.class.getName()).log(Level.SEVERE, null, ex); 
    } 
} 

Answer 1

あなたの主な間違いはSQL Injection攻撃に対して脆弱あなたを残している、あなたは文字列の連結を使用することです。

具体的な間違いは、テキスト値を引用しなかったことです。

次のSQL文を持つ sqlのJava文の結果ということ

String sql = "UPDATE PATIENT SET sex = "+ sex +" WHERE NR = "+ID; 

：

UPDATE PATIENT SET sex = male WHERE NR = 42 

文がされている必要があります：

UPDATE PATIENT SET sex = 'male' WHERE NR = 42 

しかし、Javaでこれを行うには正しい方法がありますPreparedStatementを使用し、try-with-resourcesを使用します。

は、より多くの情報については、以下を参照してください：

• The Java™ Tutorials - Using Prepared Statements
• The Java™ Tutorials - The try-with-resources Statement

String sql = "UPDATE PATIENT" + 
       " SET SEX = ?" + 
        ", FIRSTNAME = ?" + 
        ", FAMILYNAME = ?" + 
        ", EMAIL = ?" + 
      " WHERE NR = ?"; 
try (PreparedStatement stmt = conn.prepareStatement(sql)) { 
    stmt.setString(1, sex); 
    stmt.setString(2, firstName); 
    stmt.setString(3, familyName); 
    stmt.setString(4, eMail); 
    stmt.setInt (5, ID); 
    int updateCount = stmt.executeUpdate(); 
    if (updateCount == 0) 
     throw new IllegalArgumentException("Patient not found: " + ID); 
}