使用準(zhǔn)備語(yǔ)句的可變列名我想知道是否存在使用準(zhǔn)備好的語(yǔ)句指定返回的列名。我正在使用MySQL和Java。當(dāng)我嘗試的時(shí)候:String columnNames="d,e,f"; //Actually from the user...String name = "some_table";
//From user...String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";
//...stmt = conn.prepareStatement(query);stmt.setString(1, columnNames);stmt.setString(2, "x");我得到這種類型的語(yǔ)句(在執(zhí)行之前打印)。SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'不過(guò),我希望看到:SELECT a,b,c,d,e,f FROM some_table WHERE d='x'我知道我不能像前面提到的那樣,對(duì)表名這樣做。這里,但我想知道是否有什么方法可以用于列名。如果沒(méi)有,那么我只需要嘗試并確保我清理了輸入,這樣它就不會(huì)導(dǎo)致SQL注入漏洞。
3 回答
犯罪嫌疑人X
TA貢獻(xiàn)2080條經(jīng)驗(yàn) 獲得超4個(gè)贊
PreparedStatementPreparedStatement
String#replace()
有只小跳蛙
TA貢獻(xiàn)1824條經(jīng)驗(yàn) 獲得超8個(gè)贊
弒天下
TA貢獻(xiàn)1818條經(jīng)驗(yàn) 獲得超8個(gè)贊
public void MethodName(String strFieldName1, String strFieldName2, String strTableName)
{
//Code to connect with database
String strSQLQuery=String.format("select %s, %s from %s", strFieldName, strFieldName2, strTableName);
st=conn.createStatement();
rs=st.executeQuery(strSQLQuery);
//rest code
}
添加回答
舉報(bào)
0/150
提交
取消