错误1064：SQL语法错误

Question

我在Java代码中的SQL代码，看起来像这样：

Connection con = null; 
     PreparedStatement pstmt = null; 
     ResultSet rs = null; 
     beforeExerTestDTO dto = new beforeExerTestDTO(); 

     StringBuffer sql = new StringBuffer(); 
     sql.append(" select * "); 
     sql.append(" from n_before_exer "); 
     sql.append(" where id=?"); 
     sql.append(" and reg_date = (select max(reg_date) from n_before_exer where id=?)"); 

     try { 
      con = pool.getLocalConnection(); 
      pstmt = con.prepareStatement(sql.toString()); 
      pstmt.setString(1, id); 
      pstmt.setString(2, id); 
      System.out.println("여기까진 살까??"); 
      rs = pstmt.executeQuery(); 
      /...... 
      ...... some code/
      }catch(SQLException e){ 
      System.out.println("read : " + e); 
      System.out.println("read : " + sql); 
     }catch(Exception e){ 
      System.out.println("read : " + e.getStackTrace().toString()); 
     }finally{ 
      DBClose.close(con, pstmt, rs); 
     } 
     return dto; 
} 

当文件被执行它形成了这样的说法在控制台：

select * from n_before_exer where id=? and reg_date = (select max(reg_date) from n_before_exer where id=?) 

，并抛出一个

java.sql.SQLEXCEPTION

我试了一下：

1. 我跑在MySQL Workbench中查询相同：

，并得到了以下错误：

Error Code: 1064. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '? and reg_date = (select max(reg_date) from n_before_exer where id=?)' at line 1

的研究课题显示位：

1. 这种方式是不是首选的方式，因为它可能导致注入攻击
2. 并建议使用占位符作为参数

这似乎有点复杂，我，如果有人能帮助我建立这个说法在正确的首选方式，请

感谢

Answer 1

您应该使用一个事先准备好的声明：

Connection con; // get a connection 
PreparedStatement ps = con.prepareStatement(sql); 
ps.setInt(1, someInt); 
ps.setInt(2, someOtherInt); 

ResultSet rs = ps.executeQuery(); 
while (rs.next()) { 
    // process each record 
} 

Answer 2

您的语句在语法上看起来很正确。你有编码问题，你的Java文件？

Answer 3

pstmt.setString（1，id）;

我想这个问题是ID的类型不是字符串，你可以使用它来试试：“？”