使用准备语句的可变列名我想知道是否存在使用准备好的语句指定返回的列名。我正在使用MySQL和Java。当我尝试的时候:String columnNames="d,e,f"; //Actually from the user...String name = "some_table";
//From user...String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";
//...stmt = conn.prepareStatement(query);stmt.setString(1, columnNames);stmt.setString(2, "x");我得到这种类型的语句(在执行之前打印)。SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'不过,我希望看到:SELECT a,b,c,d,e,f FROM some_table WHERE d='x'我知道我不能像前面提到的那样,对表名这样做。这里,但我想知道是否有什么方法可以用于列名。如果没有,那么我只需要尝试并确保我清理了输入,这样它就不会导致SQL注入漏洞。
3 回答
犯罪嫌疑人X
TA贡献2080条经验 获得超4个赞
PreparedStatementPreparedStatement
String#replace()
有只小跳蛙
TA贡献1824条经验 获得超8个赞
弑天下
TA贡献1818条经验 获得超8个赞
public void MethodName(String strFieldName1, String strFieldName2, String strTableName)
{
//Code to connect with database
String strSQLQuery=String.format("select %s, %s from %s", strFieldName, strFieldName2, strTableName);
st=conn.createStatement();
rs=st.executeQuery(strSQLQuery);
//rest code
}
添加回答
举报
0/150
提交
取消