无法删除表单数据库SQLGrammarException

Question

我想从hibernate中的基本DELETE列插入-regBroj参数是一样的基地。

这是我在控制方法deleting.But我不断得到 SQLGrammarException： 产生的原因：com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException：未知列 'BG026CH' 在 'where子句'

这个'BG026CH'是regBroj的值，我用它作为参数来查找数据库中的车辆并删除它。并且我将它插入到adminPage中的文本区域。

public String izbrisi(String regBroj) { 
    List<Vozilo> lista = listaj(); 
     Session s = HibernateUtil.getSessionFactory().getCurrentSession(); 
     Transaction t = s.beginTransaction(); 

     for (int i = 0; i < lista.size(); i++) { 
      if (regBroj .equals(lista.get(i).getRegBroj())) { 
       String izbrisiquery = "DELETE FROM Korisnik WHERE brojLk=" + regBroj + ""; 
       Query q = s.createQuery(izbrisiquery); 
       int a = q.executeUpdate(); 
       t.commit(); 
       return "adminPage"; 
      } 
     } 
     t.commit(); 
     return "error"; 


    } 

Answer 1

请与其中之一

String izbrisiquery = "DELETE FROM Korisnik WHERE brojLk='" + regBroj + "'"; 

Answer 2

您应该考虑使用准备好的陈述，因为它们会自动照顾引号转义字段值替换下面的字符串，而他们也将保护您免受SQL注入。

// obtain a Connection object using your Hibernate session, or through some other means 
Connection conn = getDBConnection(); 

for (int i = 0; i < lista.size(); i++) { 
    if (regBroj .equals(lista.get(i).getRegBroj())) { 
     String izbrisiquery = "DELETE FROM Korisnik WHERE brojLk = ?"; 
     PreparedStatement ps = conn.prepareStatement(izbrisiquery); 
     ps.setString(1, regBroj); 
     ps.executeUpdate(); 
     t.commit(); 

     return "adminPage"; 
    } 
} 

要查看恶意用户可以注入SQL如何工作，或如何破坏了Korisnik表，假设有人黑客的UI传递的'' OR TRUE一个值brojLK。这是导致DELETE声明会是什么样子：

DELETE FROM Korisnik WHERE brojLk = '' OR TRUE 

换句话说，这种注射查询会放弃你的整个表！准备好的语句会扼杀这个输入，黑客不会执行查询。