使用準備語句的可變列名我想知道是否存在使用準備好的語句指定返回的列名。我正在使用MySQL和Java。當我嘗試的時候:String columnNames="d,e,f"; //Actually from the user...String name = "some_table";
//From user...String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";
//...stmt = conn.prepareStatement(query);stmt.setString(1, columnNames);stmt.setString(2, "x");我得到這種類型的語句(在執行之前打印)。SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'不過,我希望看到:SELECT a,b,c,d,e,f FROM some_table WHERE d='x'我知道我不能像前面提到的那樣,對表名這樣做。這里,但我想知道是否有什么方法可以用于列名。如果沒有,那么我只需要嘗試并確保我清理了輸入,這樣它就不會導致SQL注入漏洞。
3 回答
犯罪嫌疑人X
TA貢獻2080條經驗 獲得超4個贊
PreparedStatementPreparedStatement
String#replace()
有只小跳蛙
TA貢獻1824條經驗 獲得超8個贊
弒天下
TA貢獻1818條經驗 獲得超8個贊
public void MethodName(String strFieldName1, String strFieldName2, String strTableName)
{
//Code to connect with database
String strSQLQuery=String.format("select %s, %s from %s", strFieldName, strFieldName2, strTableName);
st=conn.createStatement();
rs=st.executeQuery(strSQLQuery);
//rest code
}
添加回答
舉報
0/150
提交
取消