准备好的语句中的变量列名称
问题:
使用准备好的语句选择行,您可以使用此指定返回的列名称吗method?
上下文:
使用 MySQL 和 Java,尝试将列名作为参数包含在准备好的语句中,导致列名作为文字包含在内查询中的字符串,而不是实际列
说明:
预备语句旨在通过允许指定参数而不直接插入查询字符串来防止 SQL 注入。但是,此机制适用于参数值,而不是用于修改查询本身。
解决方法:
1。数据库设计重新考虑:
避免将列名称直接暴露给用户。相反,请考虑使用不同的机制,例如在数据库中创建另一列以将所需的列名称与数据一起存储。
2.手动查询构造:
如果修改数据库设计不可行,您可以清理输入列名称并手动构造 SQL 查询。使用 String#replace() 方法转义列名称中引号字符的任何实例。
结论:
虽然无法指定返回的列作为准备好的语句中的参数,有其他方法可以实现所需的功能。确保正确的输入清理以防止 SQL 注入漏洞。
以上是MySQL中的准备语句可以处理动态指定的列名吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
