gpt4 book ai didi

java - 使用预准备语句的变量列名

转载 作者:行者123 更新时间:2023-12-02 05:50:55 24 4
gpt4 key购买 nike

我想知道是否有任何方法可以使用准备好的语句指定返回的列名称。

我正在使用 MySQL 和 Java。

当我尝试时:

String columnNames="d,e,f"; //Actually from the user...
String name = "some_table"; //From user...
String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";//...
stmt = conn.prepareStatement(query);
stmt.setString(1, columnNames);
stmt.setString(2, "x");

我得到这种类型的语句(在执行之前打印)。

SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'

但是,我希望看到:

SELECT a,b,c,d,e,f FROM some_table WHERE d='x'

正如所讨论的,我知道我不能对表名执行此操作 here ,但想知道是否有某种方法可以对列名称执行此操作。

如果没有,那么我只需尝试确保清理输入,这样就不会导致 SQL 注入(inject)漏洞。

最佳答案

这表明数据库设计不好。用户不需要知道列名。创建一个真实的数据库列来保存这些“列名称”并存储数据。

无论如何,不​​,您不能将列名称设置为 PreparedStatement 值。您只能将列设置为PreparedStatement

如果您想继续朝这个方向前进,则需要清理列名称(以避免 SQL Injection )并自行连接/构建 SQL 字符串。引用单独的列名称并使用 String#replace()转义列名称中的相同引号。

关于java - 使用预准备语句的变量列名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56048305/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com