为什么在 SQL 中不能对表名使用预准备语句？

SQL 准备语句和表名称：常见陷阱

准备好的语句对于安全 SQL 查询、防止 SQL 注入漏洞至关重要。 然而，一个常见的误解是表名可以在准备好的语句中参数化。 这是不正确的。

以下示例说明了该问题：尝试使用预准备语句使用参数 (query1) 和像 [?] 这样的变量来动态指定表名（例如 reportDate）将会失败。 错误“参数‘Pa_RaM000’指定了需要表名的位置”突出了这一限制。

解决方案：在准备好的语句之外进行动态构造

核心问题是 SQL 解析器处理表名与其他查询参数的方式不同。 它们无法通过准备好的语句占位符动态注入。

正确的方法是在使用准备好的语句之前动态构造表名称。 这是通过将包含日期部分（例如 reportDate）的变量与表名称的固定部分连接来完成的：

<code class="language-sql">private String query1 = "SELECT plantID, edrman, plant, vaxnode FROM [" + reportDate + ".?]";</code>

这里，reportDate 提供表名称的特定于日期的部分，它与静态部分组合在一起。 然后，可以在准备好的语句本身中安全地参数化 SELECT 语句中的其余参数。

此方法允许动态查询生成，同时保持数据值准备语句的安全优势。

以上是为什么在 SQL 中不能对表名使用预准备语句？的详细内容。更多信息请关注PHP中文网其他相关文章！