Darwin Ramos Ответов: 2

Переменная исчезает, когда я фильтрую таблицу базы данных

Я создаю библиотечную систему, в которой пользователь может искать и фильтровать данные в базе данных. Мой код теперь фильтрует таблицу, однако, когда я начинаю вводить переменную txtNo, она исчезает. Я не могу определить, в чем проблема.

Что я уже пробовал:

private void txtSearchKeyReleased(java.awt.event.KeyEvent evt) {                                      
        try { 
            String sql = "SELECT txtNo, txtTitle, txtAuthor, txtGenre, txtLexile, txtPoints FROM LibrarySystemDatabase WHERE txtNo like '%"+txtSearch.getText()+"%' "
                    + "OR txtTitle like '%"+txtSearch.getText()+"%'"
                    + "OR txtAuthor like '%"+txtSearch.getText()+"%'"
                    + "OR txtGenre like '%"+txtSearch.getText()+"%'"
                    + "OR txtLexile like '%"+txtSearch.getText()+"%'"
                    + "OR txtPoints like '%"+txtSearch.getText()+"%'";
            pst = conn.prepareStatement (sql);
            rs = pst.executeQuery();
            tblTable.setModel(DbUtils.resultSetToTableModel(rs));
            tblTable.removeColumn(tblTable.getColumnModel().getColumn(0));
        } catch(Exception e) {
             JOptionPane.showMessageDialog(null, e);
        }
        
    }

Jon McKee

Может быть я и тупой но это не так tblTable.removeColumn(tblTable.getColumnModel().getColumn(0)); удалить txtNo? Что именно вы подразумеваете под "Когда я начинаю вводить переменную txtNo исчезает"?

Richard MacCutchan

Почему вы используете одно и то же текстовое поле для каждого столбца базы данных в операторе SELECT? Шансы на то, что он найдет какие-то достоверные записи, невелики. Кроме того, вы не объяснили, что вы имеете в виду под "когда я начинаю вводить переменную txtNo, она исчезает" Исчезает откуда?

2 Ответов

Рейтинг:
1

Patrice T

Цитата:
когда я начинаю вводить переменную txtNo, она исчезает.

технически, txtNo это не переменная (Java), из запроса, это поле базы данных, так что это ничего не значит для нас.
String sql = "SELECT txtNo, txtTitle, txtAuthor, txtGenre, txtLexile, txtPoints FROM LibrarySystemDatabase WHERE txtNo like '%"+txtSearch.getText()+"%' "
+ "OR txtTitle like '%"+txtSearch.getText()+"%'"
+ "OR txtAuthor like '%"+txtSearch.getText()+"%'"
+ "OR txtGenre like '%"+txtSearch.getText()+"%'"
+ "OR txtLexile like '%"+txtSearch.getText()+"%'"
+ "OR txtPoints like '%"+txtSearch.getText()+"%'";

Не решение вашего вопроса, а еще одна проблема, которая у вас есть.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]

Рейтинг:
0

OriginalGriff

У вас есть более серьезная проблема: никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?