0
我想知道我可以在這個格式我可以寫我的SQL查詢這樣
String update = "UPDATE ? SET Status = ? WHERE Name = ?";
stmt.setString(1,tableName);
stmt.setString(2,status);
stmt.setString(3,name);
插入同樣的表名的插入和刪除報表?
A
回答
5
號
你把問號查詢的原因(除了防止SQL注入)是爲了使數據庫可以準備準備的語句使用不同的參數聲明一次和使用。如果它不知道你正在使用哪個表格,它將無法編寫一份聲明。
1
通常情況下,你可以這樣做,如下圖所示...
String sql = "UPDATE " + tableName " SET Status = ? WHERE Name = ?";
PreparedStatement stmt = null;
try {
stmt = connection.prepareStatement(sql);
stmt.setString(1, status);
stmt.setString(2, name);
stmt.executeUpdate();
} finally {
if (stmt != null) {
stmt.close();
}
}
3
簡短的答案是否定的。但你可以這樣做:
String update = "UPDATE " + tableName + " SET Status = ? WHERE Name = ?";
...
stmt.setString(1,status);
stmt.setString(2,name);
雖然知道SQL注入。確保你的tableName來自安全源。
0
不,你不能這樣做,因爲你一定在使用準備好的語句。你無法做到這一點的原因是PreparedStatement是預編譯的,所以它需要你正在修改的表(使用DML的數據)或結構上(使用DDL)的表。如果您沒有提到表格名稱,該語句將如何預編譯?
如果你想要你可以使用動態SQL,但在這種情況下,你不必使用PreparedStatement,你可以使用一個更簡單的實現Statement來使用它。
希望這是有幫助的!
相關問題
- 1. 我怎麼可以這樣寫SQL查詢到LINQ查詢
- 2. 我需要提高我的T-SQL查詢,這樣我可以返回列
- 3. 有人可以幫我寫postgres中的這個SQL查詢
- 4. SQL查詢 - 我可以不這樣做嗎?
- 5. 任何人都可以給我寫這個sql查詢嗎?
- 6. 我怎樣寫這個查詢
- 7. 我以爲Dapper可以合併多個這樣的查詢
- 8. 我該如何寫這個SQL查詢
- 9. 我怎樣才能以cakephp-3的方式寫這個查詢?
- 10. 可以這樣查詢嗎?
- 11. 需要以這樣的方式實現以下查詢,我們不應該寫這樣一個大的查詢
- 12. 我可以像這樣使用UIAlertController嗎? iOS的設計查詢
- 13. 幫我寫這個查詢
- 14. 我怎麼寫這個sql查詢linq查詢
- 15. 我可以優化這種查詢嗎?
- 16. 我可以在SQL Server查詢使用這種類型的
- 17. Linq新手。我可以寫這個Linq查詢更簡潔嗎?
- 18. 我們可以優化這個sql查詢嗎?
- 19. 我可以在SQL Server中消除這個子查詢嗎?
- 20. 有人可以幫我用這個SQL查詢嗎?
- 21. 我可以在一行上返回這個sql查詢嗎?
- 22. 有人可以幫我糾正這個SQL 08查詢嗎?
- 23. 有人可以向我解釋這個SQL查詢嗎?
- 24. 任何人都可以解釋我這個SQL查詢
- 25. 有人可以幫我看看這個SQL查詢
- 26. 我可以在Linq中完成這個SQL查詢嗎?
- 27. 我可以將這三個SQL查詢合併爲一個嗎?
- 28. 我可以使這個SQL查詢更有效嗎?
- 29. 你可以向我解釋這2個SQL查詢嗎?
- 30. 我可以加快這一嵌套子查詢PostgreSQL的查詢
你嘗試過嗎? – Dreamwalker 2013-03-13 12:30:50
不,您不能參數化表名。使用動態SQL – Joe2013 2013-03-13 12:31:19
你可以但只能使用這不是做的動態SQL。如果你不小心,動態SQL會打開你的SQL注入。 – xQbert 2013-03-13 12:31:59