问题描述
||
当我清楚地识别出变量后,Oracle一直给我一个无效的标识符错误。
//get parameters from the request
String custID=request.getParameter(\"cust_ID\");
String saleID=request.getParameter(\"sale_ID\");
String firstName=request.getParameter(\"first_Name\");
String mInitial=request.getParameter(\"mI\");
String lastName=request.getParameter(\"last_Name\");
String streetName=request.getParameter(\"street\");
String city=request.getParameter(\"city\");
String state=request.getParameter(\"state\");
String zipCode=request.getParameter(\"zip_Code\");
String dob2=request.getParameter(\"dob\");
String agentID=request.getParameter(\"agent_ID\");
String homePhone=request.getParameter(\"home_Phone\");
String cellPhone=request.getParameter(\"cell_Phone\");
String profession=request.getParameter(\"profession\");
String employer=request.getParameter(\"employer\");
String referrer=request.getParameter(\"referrer\");
query =
\"UPDATE customer\"
+ \" SET customer.cust_ID=custID,customer.sale_ID=saleID,customer.first_Name=firstName,customer.mI=mInitial,customer.last_Name=lastName,customer.street_Name=streetName,customer.city=city,customer.state=state,customer.zip_Code=zipCode,customer. dob=dob2,customer.agent_ID=agentID,customer.home_Phone=homePhone,customer.cell_Phone=cellPhone,customer.profession=profession,customer.employer=employer,customer.referrer=referrer\"
+ \" WHERE customer.cust_ID=custID \" ;
preparedStatement = conn.prepareStatement(query);
preparedStatement.executeUpdate();
sql表
CREATE TABLE customer
(cust_ID NUMBER NOT NULL,sale_ID NUMBER NOT NULL,first_NameVARCHAR2(30) NOT NULL,mI VARCHAR2(2),last_Name VARCHAR2(50) NOT NULL,street_Name VARCHAR2(50),city VARCHAR2(30) NOT NULL,state VARCHAR2(50) NOT NULL,zip_Code VARCHAR2(5) NOT NULL,dob DATE,agent_ID NUMBER,home_Phone VARCHAR2(12) UNIQUE,cell_Phone VARCHAR2(12) UNIQUE,profession VARCHAR2(30),employer VARCHAR2(30),referrer VARCHAR2(30)
);
解决方法
您的代码没有按照您的想法去做。看这个:
query =
\"UPDATE customer\"
+ \" SET customer.cust_ID=custID,customer.sale_ID=saleID,customer.first_Name=firstName,customer.mI=mInitial,customer.last_Name=lastName,customer.street_Name=streetName,customer.city=city,customer.state=state,customer.zip_Code=zipCode,customer. DOB=DOB2,customer.agent_ID=agentID,customer.home_Phone=homePhone,customer.cell_Phone=cellPhone,customer.profession=profession,customer.employer=employer,customer.referrer=referrer\"
+ \" WHERE customer.cust_ID=custID \"
此时“ 3”的内容正是将要发送到数据库的内容。在将查询发送到数据库之前,JSP不会为您神奇地填写custID
,saleID
(等)。因此,Oracle不知道sweet4是什么(它肯定不是isn7ѭ表中其他列的名称)。因此,您收到无效的标识符错误。
我认为您正在尝试这样做:
query =
\"UPDATE customer\"
+ \" SET customer.cust_ID=\" + custID + \",customer.sale_ID=\" + saleID + ...
就像提到的duffymo一样,这要求严重的SQL注入麻烦(只需考虑客户端可以提交的值,以便通过custID
字段劫持您的SQL)。更好的方法是在ѭ10上使用参数:
query =
\"UPDATE customer\"
+ \" SET customer.cust_ID=?,customer.sale_ID=? ...\";
PreparedStatement statement = conn.prepareStatement(query);
statement.setString(1,custID);
statement.setString(2,saleID);
statement.executeUpdate();
,我建议不要在您的JSP中使用scriplet。尽快学习JSTL。
答案似乎很明显:您的参数都是字符串,但是Oracle模式具有某些数据和数字类型。插入时,您必须转换为正确的类型。
这段代码请求进行SQL注入攻击。插入之前,您无需进行任何绑定或验证。您不可能比这更安全。希望您不要将此网站用于网络上的任何内容。
更好的方法是将scriptlet代码从JSP中删除,仅使用JSTL进行编写,并引入servlet和其他一些层来帮助进行绑定,验证,安全性等。
,我认为在sql查询中,您已经在customer,DOB之间输入了空格。
顾客。 DOB = DOB2