解决 JDBC 准备语句中的表名称参数化
JDBC 准备好的语句提供了显着的安全性和性能优势,但它们也有局限性。 其中一项限制是无法在 SQL 查询中使用参数作为表名。尝试这样做通常会导致错误。
解决方案很简单:不使用表名占位符,而是直接将表名合并到 SQL 查询字符串中。 例如:
<code class="language-java">private String query1 = "SELECT plantID, edrman, plant, vaxnode FROM " + reportDate; </code>
在这个更正的示例中,reportDate(假设包含实际的表名称)直接连接到 SQL 字符串中。 这避免了尝试参数化表名,从而能够成功执行准备好的语句。
记住这个约束至关重要:表名称不被视为准备好的语句中的参数,并且必须显式包含在查询中。 否则将导致查询失败。
以上是为什么在 JDBC 中表名不能使用预准备语句?的详细内容。更多信息请关注PHP中文网其他相关文章!
