對動態列名稱使用準備好的語句
使用資料庫查詢時,在嘗試指定動態列名稱時會出現常見的困境。本文探討了透過預先準備語句傳遞變數列名的可能性,特別是在使用 Java 的 MySQL 中。
挑戰語句
當使用者嘗試執行預備語句時,列名作為字串傳入:
String columnNames = "d,e,f"; String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?"; stmt = conn.prepareStatement(query); stmt.setString(1, columnNames); stmt.setString(2, "x");
但是,產生的SQL語句將列名顯示為文字的一部分字串:
SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'
但是,所需的輸出是將列名稱作為單獨的列:
SELECT a,b,c,d,e,f FROM some_table WHERE d='x'
解決方案討論
值得注意的是,這種做法顯示資料庫設計有缺陷。理想情況下,使用者不應該知道列名稱。更好的解決方案是在資料庫中建立一個明確列來儲存“列名稱”。
不幸的是,無法將欄位名稱設為PreparedStatement 值。準備好的語句只能用來設定列值。
如果不可避免地要使用變數列名,則需要清理輸入並手動建構 SQL 字串。這涉及引用各個列名稱並使用 String#replace() 對列名稱中的引號進行轉義。
以上是準備好的語句可以處理 SQL 查詢中的動態列名嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
