JdbcTemplate - 替換問號

2015-11-17 36 views 1 likes

String sql = "SELECT ? FROM Users WHERE Lastname=?";

我使用的方法的queryForList從JdbcTemplate的

Object [] myparams = {"name", "Doe"}; 
int [] mytypes = {Types.VARCHAR, Types.VARCHAR}; 
List<Map<String,Object>> listOfMaps = jdbc.queryForList(sql, myparams, mytypes);

輸出不正確，因爲不存在與第一問號的問題。我認爲這個問號會被myparams數組中的參數取代，但它並沒有以這種方式工作。

是否有可能做我想達到的目的，但不是通過手動添加參數到字符串？

來源

2015-11-17 Someone

問號只能用於where語句中的參數。不適用於選擇語句中的列 – Jens

回答

只能將問號用於where語句中的參數。

來源

2015-11-17 13:46:25

好的，但有沒有其他方法可以做我想做的事？哪種插入字符串的方式是安全的？ – Someone

不，你爲什麼不能使用「Select *」？ –

因爲查詢可以返回一個巨大的對象列表，並且只需要一些列。我不想在查詢後解析列表。 – Someone

JDBC和Spring都沒有提供從小塊構建SQL查詢的方法。

您可以嘗試使用特殊圖案來標記要替換的部件。一般來說這是不好的做法（由於可能的SQL注入攻擊）

String sql = "SELECT ${columns} FROM Users WHERE Lastname=?" 
    .replace("${columns}", "name");

對於這個是安全的，你必須確保"name"不能被攻擊者注入。嘗試使用字符串常量（final static String）或枚舉。切勿接受來自外部的值（網絡瀏覽器，環境變量）而不驗證它們。

來源

2015-11-17 14:08:50 Chandra

相關問題

11. 丹麥字符替換爲問號
12. C＃正則表達式替換問號
13. 爲什麼str_replace不能替換問號？
14. 用Preg_Replace替換撇號的問題
15. 使用jdbctemplate插入撇號
16. 替換雙引號（「）
17. 替換行號列
18. MATLAB符號替換
19. 替換序列號
20. Java替換括號
21. 如何使用JdbcTemplate和BeanPropertySqlParameterSource獲取替換值的sql？
22. Scala Spring JdbcTemplate - 隱式轉換
23. JavaScript的替換單引號與雙單引號問題
24. 用星號替換連字符，空格和問號
25. 替換問題
26. Spring中靜態JdbcTemplate的替代方案
27. 替換逗號替換爲撇號和逗號的列中的函數？
28. Bash：使用cat和tr替換使用逗號替換字符串的問題
29. 嵌套查詢JdbcTemplate問題
30. Java /全部替換引號