Bagaimanakah Saya Boleh Mengendalikan Nama Lajur Dinamik dalam Penyata Disediakan JDBC?

Parameter Pertanyaan dan Nama Lajur Pembolehubah

Di Java, menggunakan pernyataan yang disediakan JDBC, seseorang mungkin menghadapi senario di mana nama lajur dinamik perlu dinyatakan dalam pertanyaan. Malangnya, adalah tidak mungkin untuk menetapkan nama lajur secara langsung sebagai nilai pernyataan yang disediakan, kerana mereka menjangkakan nilai lajur sebaliknya.

Percubaan untuk menentukan nama lajur sebagai nilai menghasilkan pertanyaan seperti:

SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'

Pertanyaan yang dikehendaki, bagaimanapun, ialah:

SELECT a,b,c,d,e,f FROM some_table WHERE d='x'

Penyelesaian dan Pertimbangan

Adalah dinasihatkan supaya tidak menggunakan nama lajur berubah-ubah dengan cara ini kerana ia boleh membawa kepada isu reka bentuk pangkalan data dan meningkatkan risiko kelemahan suntikan SQL. Sebaliknya, pertimbangkan untuk membuat lajur pangkalan data khusus untuk menyimpan "nama lajur" ini dan menyimpan data dengan sewajarnya.

Jika anda masih memerlukan nama lajur berubah-ubah, penyelesaiannya ialah membersihkan input, membina rentetan SQL secara manual, petikan nama lajur dan petikan escape dalam nama menggunakan String#replace(). Ingat bahawa pendekatan ini mengekalkan potensi kelemahan suntikan SQL, jadi sanitasi adalah penting.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Mengendalikan Nama Lajur Dinamik dalam Penyata Disediakan JDBC?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!