準備好的語句可以處理 SQL 查詢中的動態列名嗎？

對動態列名稱使用準備好的語句

使用資料庫查詢時，在嘗試指定動態列名稱時會出現常見的困境。本文探討了透過預先準備語句傳遞變數列名的可能性，特別是在使用 Java 的 MySQL 中。

挑戰語句

當使用者嘗試執行預備語句時，列名作為字串傳入：

String columnNames = "d,e,f";
String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";
stmt = conn.prepareStatement(query);
stmt.setString(1, columnNames);
stmt.setString(2, "x");

但是，產生的SQL語句將列名顯示為文字的一部分字串：

SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'

但是，所需的輸出是將列名稱作為單獨的列：

SELECT a,b,c,d,e,f FROM some_table WHERE d='x'

解決方案討論

值得注意的是，這種做法顯示資料庫設計有缺陷。理想情況下，使用者不應該知道列名稱。更好的解決方案是在資料庫中建立一個明確列來儲存“列名稱”。

不幸的是，無法將欄位名稱設為PreparedStatement 值。準備好的語句只能用來設定列值。

如果不可避免地要使用變數列名，則需要清理輸入並手動建構 SQL 字串。這涉及引用各個列名稱並使用 String#replace() 對列名稱中的引號進行轉義。

以上是準備好的語句可以處理 SQL 查詢中的動態列名嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！