jdbc,prepareStatement,表名为变量时无法使用占位符‘?’

最新推荐文章于 2022-08-16 10:01:44 发布
最新推荐文章于 2022-08-16 10:01:44 发布
阅读量1.9k 收藏
点赞数
文章标签: java 数据库 jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daggerin7/article/details/122063076
版权

java操作有些数据库比如clickhouse暂时还用的是jdbc,执行sql时面临使用statement还是prepareStatement,其中statement写的简单不过会有sql注入最后安全检查不过。prepareStatement就不会,因为使用了占位符,?,像myBatis也是占位符,就不会有sql注入。

不过?只能替换值,不能替换表名。比如select * from ? where id = '1', 执行prepareStatement结果是不对的。诸多原因,编译上的,还有?其实两边默认有单引号。那如何prepareStatement使用占位符替换表名呢?

答案简单的说,没有!

参考sql - How to use a tablename variable for a java prepared statement insert - Stack Overflow

java - How to prevent SQL injection when the statement has a dynamic table name? - Stack Overflow

不要试图用啥单引号替换,string拼接啥的,要么做不到要么无法避免sql注入。

结论就是只能用白名单,检查表名

daggerin7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用JDBCPrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBCPrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
使用JDBC在MySQL数据库中如何快速批量插入数据
09-09
3. **预编译SQL语句**:使用`Connection.prepareStatement()`方法创建一个预编译的`PreparedStatement`对象,预编译的SQL可以提高执行效率。在`DbStoreHelper`类中,`insert_sql`变量包含了预编译的插入语句,包含5...
jdbc不能使用占位符名及其解决方法
Artisan_w
08-16 1327
jdbc不能使用占位符名的解决方法
JAVA——prepareStatement中SQL语句中占位符(?)替换名和字段名
无限迭代中......
01-11 5331
基本概念 PreparedStatement:Statement的改良版,具有预编译功能,方便使用,运行速度快。 问题描述 1.根据测试占位符?不能用于名 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"per...
PreparedStatement不能用来设置名、字段名
曹利荣的博客
01-25 1180
今天动手写课程设计,JDBC某处用到PreparedStatement,最初想将名、字段名、字段值都作为参数用?代替,可是实践之后发现行不通。 最初想这样写: preparedStatement = connection.prepareStatement("select * from ? where ?=?"); preparedStatement.setString(1, tableNa...
java-JDBC中?占位符使用问题,?占位符不可用来设置字段名,明等。
qq_38339561的博客
12-19 7330
Class.forName(“com.mysql.jdbc.Driver”); con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/selldb”,“root”,“root”); String sql = “select sum(?) a,sum(?) b from sell”; ops = con.prepareState...
mysql sql-syntax-prepared-statements 变量名&& 字符函数
故不积跬步,无以至千里。
11-01 1321
http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html sql 片段DELIMITER $$ USE `portal_group`$$ DROP PROCEDURE IF EXISTS `proc_sync_data`$$ CREATE DEFINER=`root`@`%` PROCEDURE `
JDBC的增、删、改、查的封装
02-05
插入数据通常涉及`PreparedStatement`,因为我们可以将变量作为占位符传入,避免了SQL注入风险。以下是一个插入示例: ```java String sql = "INSERT INTO users(name, email) VALUES (?, ?)"; PreparedStatement ...
在Java中实现Oracle变量的绑定方法 .doc
04-29
PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setInt(1, id); ResultSet rs = pstmt.executeQuery(); ``` 这里的`PreparedStatement`对象提供了变量绑定的能力,`?`符号作为占位符,然后通过...
java_JDBC预编译相关知识点参照.pdf
01-10
`是占位符,`setString()`方法将变量`username`和`password`的值绑定到对应的占位符上。 总的来说,预编译语句PreparedStatement是Java JDBC中提高性能和保障安全性的重要工具,尤其是在处理大量重复的SQL操作和...
JDBC:MySQL JAVA连接
04-13
`PreparedStatement`比`Statement`更安全且高效,因为它允许预先编译SQL语句,并使用占位符(?)来传递参数。例如: ```java String sql = "INSERT INTO users (username, email) VALUES (?, ?)"; try (Connection ...
培训机构内部jdbc 练习题
07-30
- 建立:`Statement`直接用`conn.createStatement()`创建,而`PreparedStatement`需要预编译SQL,使用`conn.prepareStatement(sql)`。 - 执行:`Statement`执行包含完整SQL命令的语句,`PreparedStatement`只包含...
使用JSP基于数据库完成用户登陆(代码+笔记
12-28
通过调用`prepareStatement()`方法创建PreparedStatement对象,然后使用`setString()`方法将变量绑定到SQL语句的占位符上。 5. **处理用户输入**: 从HTTP请求中获取用户输入的用户名和密码,通常通过`request....
JAVA Web程序设计-3期(KC006) 08单元案例_预编译和存储过程操作教学案例.doc
07-13
这段代码首先定义了一个包含8个占位符的SQL插入语句,然后创建了PreparedStatement对象并绑定变量。每个`setXxx()`方法对应一个占位符,设置对应的值。最后,调用`executeUpdate()`方法执行SQL语句,返回受影响的...
java编写数据库实现简单增删查改以及分页
02-18
在Java中添加数据通常涉及创建一个`PreparedStatement`对象,因为它们可以防止SQL注入,并允许使用占位符来插入变量值。例如,向名为`users`的中添加新用户: ```java String sql = "INSERT INTO users(name, ...
prepareStatement 占位符(?)的使用
weixin_49066429的博客
08-26 2155
public void PrepareStatementInsertTest(){ Scanner input = new Scanner(System.in); System.out.println("请输入姓名"); String name = input.next(); System.out.println("请输入年龄"); int age = input.nextInt(); try { ..
PrepareStatement
太阳雨
05-24 1025
PreparedStatement –Statement只能静态操作SQL语句,如果要想动态操作SQL语句又该如何实现呢?例如:注册会员 –这里可以使用PreparedStatement来动态操作SQL语句 –PreparedStatement通过使用占位符“?”,来预生成SQL语句,从而达到动态操作的功能 • 为占位符“?”赋值 –根据当前SQL的数据类型 调用相应的如下方法
mysql的动态sql实现变量名及占位符使用
热门推荐
づ開始懂了的博客
01-25 1万+
MySQL 在存储过程中是不支持直接使用变量名作为名或者是列名的,而在实际的应用中确实会用到变名或者变量名的情况,如数据量很大的候就会用到分。通过在网上查了mysql 5.1以上的版本提供了prepare语句用于支持这种操作。参考http://blog.csdn.net/shark1682003/article/details/17785095博客的内容,完成了动态名的查询。具体实现是通过
PreparedStatement 中的setString
ElectronStorm的专栏
09-25 3314
如果使用了setString(),则会自动为你的变量添加单引号 比如: String str="nowdate"; ...setString(1,str); 这样在生成的SQL中,str会变为:' nowdate ',而不是 nowdate。 如果是模乎查询的话,比如: String str="haha"; 在SQL中: ........ like '%?%'..... s
jdbc中statement和preparestatement区别
最新发布
05-05
JDBC 中,Statement 和 PreparedStatement 都是用于执行 SQL 语句的接口,但它们之间有以下的区别: 1. PreparedStatement 预编译: PreparedStatement 对象在执行 SQL 语句之前会进行预编译,这样可以提高 SQL 语句的执行效率。而 Statement 对象则不会进行预编译,每次执行 SQL 语句都会解析一次 SQL 语句,效率较低。 2. PreparedStatement 防止 SQL 注入攻击: PreparedStatement 对象可以使用占位符(?)来组合 SQL 语句,这样可以防止 SQL 注入攻击。而 Statement 对象则没有这样的功能。 3. PreparedStatement 可读性: PreparedStatement 对象的 SQL 语句可读性较差,因为 SQL 语句中的变量都是使用占位符示的。而 Statement 对象的 SQL 语句可读性较高,因为 SQL 语句中的变量都是直接拼接在 SQL 语句中的。 总的来说,PreparedStatement 对象比 Statement 对象更加灵活、安全且高效。因此,在实际的开发中,我们通常会优先使用 PreparedStatement 对象来执行 SQL 语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值