Member 13890655 Ответов: 3

Я получаю ошибку во время выполнения следующей программы.

private void jButton1ActionPerformed(java.awt.event.ActionEvent evt) {                                         
        // TODO add your handling code here:
        try
        {
            Class.forName("java.sql.Driver");
            
            Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/hotel_petrichor","root","1234");
            int pday = 0;
         
           
            String rt;
            rt=c1.getSelectedItem().toString();
          
            if(rt.equals("General AC"))
                pday = 2000;
            else if(rt.equals("Delux"))
                pday = 2500;
            else if(rt.equals("Super Delux"))
                pday = 3500;
            else if(rt.equals("Special Suite"))
                pday = 5000;
             jt6.setText(""+pday);
            
         
             int book= Integer.parseInt (jt1.getText());
             String name= jt2.getText();
             long phone= Long.parseLong (jt3.getText());
             int rno = Integer.parseInt(jt4.getText());
             int days = Integer.parseInt(jt5.getText());
              
             int total= pday*days;
             jt7.setText(total+"");
              String query="insert into hotelp (bno,name,phone,rno,rtype,days,perday,total) values ( '"+book+"','"+name+"','"+phone+"','"+rno+"','"+days+"','"+pday+"','"+total+"');";
              Statement stmt;
              stmt = (Statement) con.createStatement();
              stmt.executeUpdate(query);
              
              JOptionPane.showMessageDialog(null,"Saved Successfully");
              
              stmt.close();
              con.close();
        }
        catch(Exception e1)
        {
              System.out.println(e1);
              JOptionPane.showMessageDialog(null,"error");
              
        }






create database hotel_petrichor;
use hotel_petrichor;
create table hotelp
(
bno int(5),
name varchar(20),
phone int(20),
rno int(4),
rtype varchar(20),
days int(2),
perday int(4),
total int(6)
);


Что я уже пробовал:

я пробовал редактировать и переписывать, но получаю одно и то же сообщение снова и снова.
"java.sql.SQLException: количество столбцов не соответствует количеству значений в строке 1"

3 Ответов

Рейтинг:
2

OriginalGriff

Посмотрите на код:

String query="insert into hotelp (bno,name,phone,rno,rtype,days,perday,total) values ( '"+book+"','"+name+"','"+phone+"','"+rno+"','"+days+"','"+pday+"','"+total+"');";
Теперь сопоставьте данные со столбцами:
bno      book   
name     name   
phone    phone  
rno      rno    
rtype    days   
days     pday   
perday   total  
total
Что случилось с этим человеком? rtype?

Но не делай этого так!
Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Рейтинг:
1

Patrice T 

String query="insert into hotelp (bno,name,phone,rno,rtype,days,perday,total) values ( '"+book+"','"+name+"','"+phone+"','"+rno+"','"+days+"','"+pday+"','"+total+"');";

Не решение вашего вопроса, а еще одна проблема, которая у вас есть.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]

Рейтинг:
1

Richard MacCutchan 

String query="insert into hotelp (bno,name,phone,rno,rtype,days,perday,total) values ( '"+book+"','"+name+"','"+phone+"','"+rno+"','"+days+"','"+pday+"','"+total+"');";

Быстрый подсчет количества имен столбцов и количества переменных показывает, что у вас нет значения для rtype.

Если бы вы использовали правильные параметризованные запросы, то сразу же увидели бы эту проблему.