Запрос, возвращающий только пустое значение в Java

Question

Запрос, возвращающий только пустое значение в Java

1

Я использую java для соединения с oracle.Это код, который я использовал

public List<FavouriteShop> getmyfavouriteshop(String username) {
    List<FavouriteShop> res=null;
    res = this.getJdbcTemplate().query("select * from(Select tbl_orderdetails.branch_name as myfavourite,tbl_orderdetails.branch_id as branch_id from tbl_orderdetails inner join tbl_ordermaster on tbl_orderdetails.order_master_id=tbl_ordermaster.ordermasterid where tbl_ordermaster.user_id='"+username+"' group by tbl_orderdetails.branch_name,tbl_orderdetails.branch_id order by count(tbl_orderdetails.branch_name) desc) where rownum<=3", new MyFavourite());   
    return res;
}

private class MyFavourite implements RowMapper<FavouriteShop> {
    public FavouriteShop mapRow(ResultSet rs,int i) throws SQLException {
        FavouriteShop g=new FavouriteShop();
        g.setBranch_id(rs.getString("branch_id"));
        g.setMyfavourite(rs.getString("myfavourite"));
        return g;
    }
}

Я попытался выполнить тот же запрос в oracle. Я получаю вывод, но не здесь, и я получаю только пустой результат.

Nandhini Devi 23 июнь 2014, в 08:07

Источник

0

Кстати, использование встроенного создания запросов является хорошим рецептом для внедрения SQL
Scary Wombat 23 июнь 2014, в 05:37
0

Можете ли вы объяснить о инъекции SQL
Nandhini Devi 23 июнь 2014, в 06:20
0

Вы не использовали параметризованный запрос здесь, так что ваше приложение будет уязвимо для пользователя, который может легко внедрить вредоносный запрос через текстовое поле / что-то ... Читайте здесь, чтобы узнать больше об этом .. en.wikipedia.org/wiki/ SQL_injection
Rajaprabhu Aravindasamy 23 июнь 2014, в 06:30

Показать ещё 1 комментарий

Теги:

java

oracle

2 ответа

0

Обычно это не тот же запрос или не та же база данных :)

Извлеките текст запроса, чтобы разделить переменную, распечатать ее в журналах. Затем скопируйте пасту из журналов в sql-разработчик.

И проверьте базу данных и имя пользователя.

Кроме того, возможно, что вы вставили эти записи, но забыли добавить COMMIT.

Sergey Alaev 23 июнь 2014, в 04:08

0

небольшой комментарий - ваша реализация RowMapper должна быть private static и может быть кэширована в приватном поле.
Sergey Alaev 23 июнь 2014, в 05:36
0

я сделал, но все еще не работает
Nandhini Devi 23 июнь 2014, в 06:51
0

если вы проверили журналы, можете ли вы перепроверить фактический выполняемый запрос?
vinayknl 23 июнь 2014, в 07:21

Показать ещё 1 комментарий

Ещё вопросы

Кстати, использование встроенного создания запросов является хорошим рецептом для внедрения SQL
Можете ли вы объяснить о инъекции SQL
Вы не использовали параметризованный запрос здесь, так что ваше приложение будет уязвимо для пользователя, который может легко внедрить вредоносный запрос через текстовое поле / что-то ... Читайте здесь, чтобы узнать больше об этом .. en.wikipedia.org/wiki/ SQL_injection
небольшой комментарий - ваша реализация RowMapper должна быть private static и может быть кэширована в приватном поле.
если вы проверили журналы, можете ли вы перепроверить фактический выполняемый запрос?

Olaf Dietsche · Accepted Answer · 2014-06-23T06-24-00.000Z

Во-первых, у вас есть возможная инъекция SQL. Вы можете избежать этого, указав username в качестве аргумента для query

this.getJdbcTemplate().query("select * from (... where tbl_ordermaster.user_id=? ...) where rownum<=3",
                              new Object[]{ username }, new MyFavourite());

Возможной причиной для пустого результата может быть

... where tbl_ordermaster.user_id='"+username+"' ...

Обычно user_id является целым значением, но вы сравниваете его со String и заключите в кавычки. Передача username в качестве аргумента для query как показано выше, должна уже позаботиться об этом.