Java 带有where子句的SQL select语句

在没有硬编码值的情况下，如何编写此sql语句

resultSet = statement
    .executeQuery("select * from myDatabase.myTable where name = 'john'");
// this works

而不是像这样：

String name = "john"; 
resultSet = statement
    .executeQuery("select * from myDatabase.myTable where name =" + name);
// Unknown column 'john' in 'where clause' at
// sun.reflect.NativeConstructorAccessorImpl.newInstance0...etc...

---

提前感谢。

您需要在值周围加引号（'john'而不是john）.

以您当前的方式构造SQL查询是一个糟糕的想法，因为它为各种SQL注入攻击打开了大门。要正确执行此操作，您必须使用。这也将解决你目前显然遇到的各种逃避问题

PreparedStatement statement = connection.prepareStatement("select * from myDatabase.myTable where name = ?");    
statement.setString(1, name);    
ResultSet resultSet = statement.executeQuery();

请注意，

prepareStatement（）

是一个昂贵的调用（除非您的应用程序服务器使用语句缓存和其他类似功能）。从理论上讲，最好只准备一次语句，然后重复使用多次（尽管不是同时使用）：

---

在

名称

值周围加引号，因为它是一个字符串

"select * from myDatabase.myTable where name ='" + name + "'"

---

您缺少字符串周围的单引号，您的代码已更正：

String name = "john";
String sql = "select * from myDatabase.myTable where name = '" + name + "'";
// Examine the text of the query in the debugger, log it or print it out using System.out.println
resultSet = statement.executeQuery(sql);

在执行查询之前打印/记录查询文本，以查看其是否正常

如果你要做很多类似的查询，其中只有常数的变化，考虑使用

尝试如下：

String name = "john"; 

resultSet = statement
      .executeQuery("select * from myDatabase.myTable where myTable.name = '" + name + "'");

这应该起作用：

String name = "john"; 
resultSet = statement
    .executeQuery("select * from myDatabase.myTable where name =" + "'" + name + "'");

---

使用准备好的语句人们告诉您使用准备好的语句的原因之一是，您在第二个示例中尝试执行的操作容易受到攻击。@Giwrgos_uu也许您应该打开eclipse并尝试一下。。。然后你会发现你错了你能用一个例子来扩展这个答案吗我认为这是正确的。答案是：Change String name=“john”；字符串name=“'john'”；仅此而已（如答案所示，在字符串引号内添加引号！）您确定您成功地从答案复制了代码吗？这真的应该没问题。

String name = "john"; 
resultSet = statement
    .executeQuery("select * from myDatabase.myTable where name =" + "'" + name + "'");