查詢參數和變數列名
在Java中,使用JDBC準備好的語句,可能會遇到需要動態列名的場景在查詢中指定。不幸的是,不可能直接將列名設定為準備好的語句值,因為它們需要列值。
嘗試將列名指定為值會導致以下查詢:
SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'
然而,所需的查詢將是:
SELECT a,b,c,d,e,f FROM some_table WHERE d='x'
解決方案和注意事項
建議不要以這種方式使用變數列名,因為它可能會導致資料庫設計問題並增加SQL 注入漏洞的風險。相反,請考慮建立一個專用的資料庫列來保存這些「列名稱」並相應地儲存資料。
如果您仍然需要變數列名稱,解決方法是清理輸入,手動建立 SQL 字串,引用列名稱,並使用 String#replace() 轉義名稱中的引號。請記住,這種方法仍然存在 SQL 注入漏洞的可能性,因此清理至關重要。
以上是如何處理 JDBC 準備語句中的動態列名?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
