suchen

Heim >Java >javaLernprogramm >Können vorbereitete Anweisungen dynamische Spaltennamen in SQL-Abfragen verarbeiten?

Können vorbereitete Anweisungen dynamische Spaltennamen in SQL-Abfragen verarbeiten?

Linda Hamilton
Linda HamiltonOriginal
2024-12-10 09:20:15275Durchsuche

Can Prepared Statements Handle Dynamic Column Names in SQL Queries?

Verwenden vorbereiteter Anweisungen für dynamische Spaltennamen

Bei der Arbeit mit Datenbankabfragen tritt häufig ein Dilemma auf, wenn versucht wird, dynamische Spaltennamen anzugeben. In diesem Artikel wird die Möglichkeit untersucht, variable Spaltennamen über vorbereitete Anweisungen zu übergeben, insbesondere in MySQL mit Java.

Challenge Statement

Wenn der Benutzer versucht, die vorbereitete Anweisung auszuführen, Die Spaltennamen werden als Zeichenfolge übergeben:

String columnNames = "d,e,f";
String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";
stmt = conn.prepareStatement(query);
stmt.setString(1, columnNames);
stmt.setString(2, "x");

Die resultierende SQL-Anweisung zeigt die Spaltennamen jedoch als Teil des Literals an string:

SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'

Die gewünschte Ausgabe besteht jedoch darin, die Spaltennamen als separate Spalten zu haben:

SELECT a,b,c,d,e,f FROM some_table WHERE d='x'

Lösungsdiskussion

Es ist wichtig zu beachten, dass diese Vorgehensweise auf ein fehlerhaftes Datenbankdesign hinweist. Im Idealfall sollten Benutzer die Spaltennamen nicht kennen. Eine bessere Lösung wäre, stattdessen eine explizite Spalte in der Datenbank zu erstellen, um die „Spaltennamen“ zu speichern.

Leider ist das Festlegen von Spaltennamen als PreparedStatement-Werte nicht möglich. Vorbereitete Anweisungen können nur zum Festlegen von Spaltenwerten verwendet werden.

Wenn die Verwendung variabler Spaltennamen unvermeidbar ist, ist eine Bereinigung der Eingabe und eine manuelle Erstellung der SQL-Zeichenfolge erforderlich. Dazu müssen die einzelnen Spaltennamen in Anführungszeichen gesetzt und innerhalb der Spaltennamen mithilfe von String#replace().

in Anführungszeichen gesetzt werden

Das obige ist der detaillierte Inhalt vonKönnen vorbereitete Anweisungen dynamische Spaltennamen in SQL-Abfragen verarbeiten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Java sql mysql String if for Sanitizing using this column input database
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:Wie kann man Jacksons Standard-Deserializer in einem benutzerdefinierten Deserializer nutzen?Nächster Artikel:Wie kann man Jacksons Standard-Deserializer in einem benutzerdefinierten Deserializer nutzen?

In Verbindung stehende Artikel

Mehr sehen