Member 14010674 Ответов: 1

Sqlexception: [Microsoft][ODBC Microsoft access driver] количество значений запроса и полей назначения не совпадают.

public void insertData()
	{
		String insert;
		String name = txtname.getText();
		String age = txtage.getText();
		String gender = txtgen.getText();
		String status = txtstatus.getText();
		String no = txtno.getText();
		insert = "INSERT INTO Jodoh (jfname, jfage, jfgender, jfstatus, jfno) VALUES ('"+name+", "+age+", "+gender+", "+status+", "+no+"')";

		try
		{
			stmt = con.createStatement();
			stmt.executeUpdate (insert);
		}

		catch (SQLException ex)
		{
			System.err.println ("SQLException: "+ ex.getMessage());
		}

		JOptionPane.showMessageDialog (null, "Your profile have been insert into our Jodoh List");

		txtname.setText("");
		txtage.setText("");
		txtgen.setText("");
		txtstatus.setText("");
		txtno.setText("");
	}


Что я уже пробовал:

Я попытался изменить строку на int, но все равно столкнулся с той же проблемой. Кто-нибудь может помочь? Поскольку это мой первый проект, мои знания о java не очень хороши.

1 Ответов

Рейтинг:
2

OriginalGriff

Две вещи, и обе взаимосвязаны.
1) Посмотрите на свой запрос:

INSERT INTO Jodoh (jfname, jfage, jfgender, jfstatus, jfno) VALUES ('"+name+", "+age+", "+gender+", "+status+", "+no+"')
Предполагая, что замены сработали, это привело бы к этому:
INSERT INTO Jodoh (jfname, jfage, jfgender, jfstatus, jfno) VALUES ('name, age, gender, status, no')

Поскольку SQL рассматривает одинарную кавычку как разделитель строк, это один предоставленный строковый параметр и пять перечисленных в списке вставить столбцы. Отсюда и ошибка.
2) Вы можете исправить это, добавив больше одинарных кавычек:
INSERT INTO Jodoh (jfname, jfage, jfgender, jfstatus, jfno) VALUES ('"+name+"', '"+age+"', '"+gender+"', '"+status+"', '"+no+"')
Это дало бы вам более разумный SQL:
INSERT INTO Jodoh (jfname, jfage, jfgender, jfstatus, jfno) VALUES ('name', 'age', 'gender', 'status', 'no')
Но даже это очень, очень плохая идея: никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?