Les instructions préparées dans MySQL peuvent-elles gérer les noms de colonnes spécifiés dynamiquement ?

Noms de colonnes de variables dans les instructions préparées

Problème :

Utilisation d'instructions préparées pour sélectionner des lignes , pouvez-vous spécifier les noms de colonnes renvoyés à l'aide de ceci méthode ?

Contexte :

En travaillant avec MySQL et Java, les tentatives d'inclusion des noms de colonnes en tant que paramètre dans une instruction préparée entraînent l'inclusion des noms de colonnes sous forme de littéral chaîne dans la requête, pas en tant que noms de colonnes réels.

Explication :

Préparé Les instructions sont conçues pour empêcher l'injection SQL en permettant de spécifier des paramètres sans être directement insérés dans la chaîne de requête. Cependant, ce mécanisme est destiné aux valeurs des paramètres, et non à la modification de la requête elle-même.

Solution de contournement :

1. Reconsidération de la conception de la base de données :

Évitez d'exposer les noms de colonnes directement à l'utilisateur. Envisagez plutôt d'utiliser un mécanisme différent, tel que la création d'une autre colonne dans la base de données pour stocker les noms de colonnes souhaités à côté des données.

2. Construction de requête manuelle :

Si la modification de la conception de la base de données n'est pas réalisable, vous pouvez nettoyer les noms des colonnes d'entrée et construire la requête SQL manuellement. Utilisez la méthode String#replace() pour échapper à toute instance du caractère guillemet dans les noms de colonnes.

Conclusion :

Bien qu'il ne soit pas possible de spécifier la colonne renvoyée noms comme paramètres dans les instructions préparées, il existe des approches alternatives pour obtenir la fonctionnalité souhaitée. Assurez une désinfection appropriée des entrées pour éviter les vulnérabilités d’injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!