jdbc,prepareStatement,表名为变量时无法使用占位符‘?’

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量1.9k 收藏
点赞数
文章标签: java 数据库 jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daggerin7/article/details/122063076
版权

java操作有些数据库比如clickhouse暂时还用的是jdbc,执行sql时面临使用statement还是prepareStatement,其中statement写的简单不过会有sql注入最后安全检查不过。prepareStatement就不会,因为使用了占位符,?,像myBatis也是占位符,就不会有sql注入。

不过?只能替换值,不能替换表名。比如select * from ? where id = '1', 执行prepareStatement结果是不对的。诸多原因,编译上的,还有?其实两边默认有单引号。那如何prepareStatement使用占位符替换表名呢?

答案简单的说,没有!

参考sql - How to use a tablename variable for a java prepared statement insert - Stack Overflow

java - How to prevent SQL injection when the statement has a dynamic table name? - Stack Overflow

不要试图用啥单引号替换,string拼接啥的,要么做不到要么无法避免sql注入。

结论就是只能用白名单,检查表名

daggerin7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
使用JDBC在MySQL数据库中如何快速批量插入数据
09-09
3. **预编译SQL语句**:使用`Connection.prepareStatement()`方法创建一个预编译的`PreparedStatement`对象,预编译的SQL可以提高执行效率。在`DbStoreHelper`类中,`insert_sql`变量包含了预编译的插入语句,包含5...
jdbc不能使用占位符表名及其解决方法
Artisan_w
08-16 1328
jdbc不能使用占位符表名的解决方法
JAVA——prepareStatement中SQL语句中占位符(?)替换表名和字段名
无限迭代中......
01-11 5333
基本概念 PreparedStatementStatement的改良版,具有预编译功能,方便使用,运行速度快。 问题描述 1.根据测试占位符?不能用于表名 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"per...
PreparedStatement不能用来设置表名、字段名
曹利荣的博客
01-25 1181
今天动手写课程设计,JDBC某处用到PreparedStatement,最初想将表名、字段名、字段值都作为参数用?代替,可是实践之后发现行不通。 最初想这样写: preparedStatement = connection.prepareStatement("select * from ? where ?=?"); preparedStatement.setString(1, tableNa...
java-JDBC中?占位符使用问题,?占位符不可用来设置字段名,明等。
qq_38339561的博客
12-19 7330
Class.forName(“com.mysql.jdbc.Driver”); con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/selldb”,“root”,“root”); String sql = “select sum(?) a,sum(?) b from sell”; ops = con.prepareState...
mysql sql-syntax-prepared-statements 变量表名&& 字符函数
故不积跬步,无以至千里。
11-01 1321
http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html sql 片段DELIMITER $$ USE `portal_group`$$ DROP PROCEDURE IF EXISTS `proc_sync_data`$$ CREATE DEFINER=`root`@`%` PROCEDURE `
JDBC的增、删、改、查的封装
02-05
插入数据通常涉及`PreparedStatement`,因为我们可以将变量作为占位符传入,避免了SQL注入风险。以下是一个插入示例: ```java String sql = "INSERT INTO users(name, email) VALUES (?, ?)"; PreparedStatement ...
Java中实现Oracle变量的绑定方法 .doc
04-29
PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setInt(1, id); ResultSet rs = pstmt.executeQuery(); ``` 这里的`PreparedStatement`对象提供了变量绑定的能力,`?`符号作为占位符,然后通过...
java_JDBC预编译相关知识点参照.pdf
01-10
`是占位符,`setString()`方法将变量`username`和`password`的值绑定到对应的占位符上。 总的来说,预编译语句PreparedStatementJava JDBC中提高性能和保障安全性的重要工具,尤其是在处理大量重复的SQL操作和...
JDBC连接方法总汇
06-05
使用`PreparedStatement`,可以设置占位符(?),然后通过`setXxx`方法动态赋值。例如: ```java String sql = "INSERT INTO users (name, age) VALUES (?, ?)"; PreparedStatement pstmt = conn.prepareStatement...
prepareStatement 占位符(?)的使用
weixin_49066429的博客
08-26 2155
public void PrepareStatementInsertTest(){ Scanner input = new Scanner(System.in); System.out.println("请输入姓名"); String name = input.next(); System.out.println("请输入年龄"); int age = input.nextInt(); try { ..
PrepareStatement
太阳雨
05-24 1025
PreparedStatementStatement只能静态操作SQL语句,如果要想动态操作SQL语句又该如何实现呢?例如:注册会员 –这里可以使用PreparedStatement来动态操作SQL语句 –PreparedStatement通过使用占位符“?”,来预生成SQL语句,从而达到动态操作的功能 • 为占位符“?”赋值 –根据当前SQL的数据类型 调用相应的如下方法
mysql的动态sql实现变量表名占位符使用
热门推荐
づ開始懂了的博客
01-25 1万+
MySQL 在存储过程中是不支持直接使用变量名作为表名或者是列名的,而在实际的应用中确实会用到变表名或者变量名的情况,如数据量很大的候就会用到分。通过在网上查了mysql 5.1以上的版本提供了prepare语句用于支持这种操作。参考http://blog.csdn.net/shark1682003/article/details/17785095博客的内容,完成了动态表名的查询。具体实现是通过
PreparedStatement 中的setString
ElectronStorm的专栏
09-25 3314
如果使用了setString(),则会自动为你的变量添加单引号 比如: String str="nowdate"; ...setString(1,str); 这样在生成的SQL中,str会变为:' nowdate ',而不是 nowdate。 如果是模乎查询的话,比如: String str="haha"; 在SQL中: ........ like '%?%'..... s
PreparedStatement不能动态设置表名和列名
hello
07-24 4667
static String url = "jdbc:mysql://localhost:3306/test?characterEncoding=utf8&useSSL=true"; static String user = "root"; static String password = "root"; public static void main(String[] str) t...
解决clickhouse插入数据因占位符报错
qq_41685616的博客
06-22 1720
解决clickhouse插入数据因占位符报错 解析: 可能是clickhouse_driver的插入语句中不支持用%s占位符操作 导致如下报错(一开始被误导了 一直认为是values中有null值导致的) 正确方法详情见代码中的示例,values需要构造成 [{‘中字段’:‘值’}] 形式 代码示例: from clickhouse_driver import Client def main(): # 错误示例 # sql = ("insert into table_zy(id,t
Statement和PreparedStatement的区别及占位符使用方法
lzhNox的博客
07-19 1384
Statement与PreparedStatement的区别及占位符使用
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 310
1.导入hutool的maven依赖。2.复制一下代码执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值