使用准备语句的可变列名

String columnNames="d,e,f"; //Actually from the user...String name = "some_table"; 
//From user...String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";
//...stmt = conn.prepareStatement(query);stmt.setString(1, columnNames);stmt.setString(2, "x");

SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'

SELECT a,b,c,d,e,f FROM some_table WHERE d='x'

3回答

犯罪嫌疑人X

这表明DB设计错误。用户不需要知道列名。创建一个包含这些“列名”的真正DB列，并将数据存储在其中。无论如何，不能将列名设置为PreparedStatement价值。只能设置列。价值如PreparedStatement价值如果您想继续这个方向，您需要清理列名并自己连接/构建SQL字符串。引用单独的列名并使用String#replace()若要在列名中转义相同的引号，请执行以下操作。

0

0

0

有只小跳蛙

我认为这种情况不能工作，因为准备好的语句的全部目的是防止用户输入未转义的查询位，所以您总是会引用或转义文本。如果要安全地影响查询结构，则需要使用Java对此输入进行清理。

0

0

0

弑天下

public void MethodName(String strFieldName1, String strFieldName2, String strTableName){//Code to connect with databaseString strSQLQuery=String.format("select %s, %s from %s", strFieldName, strFieldName2, strTableName);st=conn.createStatement();rs=st.executeQuery(strSQLQuery);//rest code}

0

0

0