Spaltennamen als Eingabeparameter in PreparedStatements verwenden
In einer Java-Datenbankanwendung wird ein PreparedStatement verwendet, um SQL-Anweisungen dynamisch auszuführen. Es stellt sich jedoch häufig die Frage: Können wir einen Spaltennamen als Eingabeparameter angeben? Dieser Artikel untersucht dieses Problem und bietet eine Antwort.
Hintergrund
Durch die Verwendung eines PreparedStatement können Sie bestimmte Werte als Parameter festlegen und so SQL-Injection-Angriffe verhindern. Standardmäßig können jedoch nur Spaltenwerte als Parameter festgelegt werden.
Das Problem
Der Benutzer möchte eine Abfrage erstellen, die zwei Tabellen (A und B) verknüpft. und filtert die Ergebnisse basierend auf einem Vergleich zwischen der X-Spalte von Tabelle A und einem Eingabeparameter. Der Benutzer möchte jedoch, dass dieser Parameter die Y-Spalte von Tabelle B ist.
Die Lösung
JDBC, die Java-Datenbankkonnektivitäts-API, erlaubt die Verwendung von nicht Spaltennamen als Eingabeparameter in PreparedStatements. Als Parameter können nur Literalwerte oder Bind-Variablen angegeben werden.
Daher ist es nicht möglich, die gewünschte Funktionalität direkt über ein PreparedStatement zu erreichen. Stattdessen muss die SQL-Anweisung so geändert werden, dass sie den Y-Spaltenwert als Literal enthält, bevor das PreparedStatement erstellt wird. Dies erfordert die manuelle Erstellung der SQL-Zeichenfolge, was aufgrund des Risikos von SQL-Injection-Angriffen nicht empfohlen wird.
Alternative Lösungen
Um SQL-Injection zu vermeiden, ist es ratsam, Folgendes zu tun Verwenden Sie alternative Ansätze, wie zum Beispiel:
Das obige ist der detaillierte Inhalt vonKönnen Spaltennamen als Eingabeparameter in Java PreparedStatements verwendet werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
