0
我想知道我可以在这个格式我可以写我的SQL查询这样
String update = "UPDATE ? SET Status = ? WHERE Name = ?";
stmt.setString(1,tableName);
stmt.setString(2,status);
stmt.setString(3,name);
插入同样的表名的插入和删除报表?
A
回答
5
号
你把问号查询的原因(除了防止SQL注入)是为了使数据库可以准备准备的语句使用不同的参数声明一次和使用。如果它不知道你正在使用哪个表格,它将无法编写一份声明。
1
通常情况下,你可以这样做,如下图所示...
String sql = "UPDATE " + tableName " SET Status = ? WHERE Name = ?";
PreparedStatement stmt = null;
try {
stmt = connection.prepareStatement(sql);
stmt.setString(1, status);
stmt.setString(2, name);
stmt.executeUpdate();
} finally {
if (stmt != null) {
stmt.close();
}
}
3
简短的答案是否定的。但你可以这样做:
String update = "UPDATE " + tableName + " SET Status = ? WHERE Name = ?";
...
stmt.setString(1,status);
stmt.setString(2,name);
虽然知道SQL注入。确保你的tableName来自安全源。
0
不,你不能这样做,因为你一定在使用准备好的语句。你无法做到这一点的原因是PreparedStatement是预编译的,所以它需要你正在修改的表(使用DML的数据)或结构上(使用DDL)的表。如果您没有提到表格名称,该语句将如何预编译?
如果你想要你可以使用动态SQL,但在这种情况下,你不必使用PreparedStatement,你可以使用一个更简单的实现Statement来使用它。
希望这是有帮助的!
相关问题
- 1. 我怎么可以这样写SQL查询到LINQ查询
- 2. 我需要提高我的T-SQL查询,这样我可以返回列
- 3. 有人可以帮我写postgres中的这个SQL查询
- 4. 我该如何写这个SQL查询
- 5. 我怎样才能以cakephp-3的方式写这个查询?
- 6. 需要以这样的方式实现以下查询,我们不应该写这样一个大的查询
- 7. 我可以像这样使用UIAlertController吗? iOS的设计查询
- 8. 帮我写这个查询
- 9. 我可以优化这种查询吗?
- 10. Linq新手。我可以写这个Linq查询更简洁吗?
- 11. 有人可以帮我纠正这个SQL 08查询吗?
- 12. 我可以在SQL Server中消除这个子查询吗?
- 13. 我们可以优化这个sql查询吗?
- 14. 有人可以向我解释这个SQL查询吗?
- 15. 你可以向我解释这2个SQL查询吗?
- 16. 有人可以帮我看看这个SQL查询
- 17. 有人可以帮我用这个SQL查询吗?
- 18. 我可以使这个SQL查询更有效吗?
- 19. 任何人都可以解释我这个SQL查询
- 20. 查询我需要这样的
- 21. 我如何写同样的连接查询我写了子查询?
- 22. 我该如何写这个查询从MySQL(SQL)到Oracle(SQL)
- 23. 我可以将这两个SQL查询组合成单个查询吗?
- 24. 我可以在插入查询中写入插入查询吗?
- 25. 如何能获得这样的结果编写查询那样简单,我可以
- 26. 我可以将这些更新查询到一个查询
- 27. 我可以投这样的指针吗?
- 28. 我可以通过这样的jsonobject吗?
- 29. 我可以做这样的事吗?
- 30. 我怎么可以这样写jQuery的片段更漂亮
你尝试过吗? – Dreamwalker 2013-03-13 12:30:50
不,您不能参数化表名。使用动态SQL – Joe2013 2013-03-13 12:31:19
你可以但只能使用这不是做的动态SQL。如果你不小心,动态SQL会打开你的SQL注入。 – xQbert 2013-03-13 12:31:59