PreparedStatement 不能用?代替表名的原因

最新推荐文章于 2022-12-30 22:00:26 发布
最新推荐文章于 2022-12-30 22:00:26 发布
阅读量2.5k 收藏 2
点赞数 5
文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39015329/article/details/77525038
版权

PreparedStatement 不能用?代替表名的原因

写了一串查看表结构的代码,但一直报错:com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException


        PreparedStatement preparedStatement = connection.prepareStatement("DESC ? ");
        preparedStatement.setString(1, tableName);
        //System.out.println(preparedStatement.toString());
        System.out.println(preparedStatement.execute());

但是用字符串直接拼接就会正常运行,于是我就直接把preparedStatement.toString()输出,看看改完之后是什么样子。
发现代替 ? 的string都是用‘ ’单引号包裹着,导致sql认为我的表名是个参数,所以报错。

以此记录自己jdbc过程中的小过程,亦愿为困惑着的小学弟们解惑。敲代码多注意一些小细节会节省更多的时间。

Wrong_config
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
PreparedStatement 不定参数处理
xingyuncaojun的博客
04-25 1425
最近项目用到PreparedStatement,根据输入条件查询数据,输入条件不为空,则参与查询,为空,则不参与查询。网上搜了,也是按照网上的方法,也不算原创,记录一下。 参考文章:https://blog.csdn.net/dream_broken/article/details/44681597/ 代码如下: Connection conn = null; PreparedStatem...
java preparestatement 未找到_关于java:您能告诉我为什么会出现“无法使用在PreparedStatement上使用带有查询字符串的查询方法”的问题吗?...
weixin_42503415的博客
03-02 1543
本问题已经有最佳答案,请猛点这里访问。我一直遇到错误"无法使用在PreparedStatement上使用查询字符串的查询方法"。尝试调试以下代码和SQL Select查询时。 (Postgres 9.4,jdk 1.8)也许我是盲人,它是一个简单的类型,但是我可以使用一些帮助。我的控制台输出:SELECT rowid, firstname, lastname, prefname, email1, ...
PreparedStatement预编译无法用?占位符替换表名和字段名
LiQiyao的博客
04-29 6906
PreparedStatementStatement的改良版,具有预编译功能,方便使用,运行速度快。 可以通过?占位符把字段值替换,之后通过setXXX方法,注入字段值。 但是?占位符只能替换字段值,不能替换表名、字段名或者其他关键词。
java createstatement,java – 无法使用preparedStatement创建表
weixin_36481714的博客
03-19 326
我无法在数据库(mySQL)中创建表,使用preparedStatement并尝试使用preparedStatement.setInteger()输入future表的名称:static String queryCreateTable = "CREATE TABLE ?" +"(ID INTEGER not NULL ," +"BRAND VARCHAR(40)," +"MODEL VARCHAR(...
JAVA——prepareStatement中SQL语句中占位符(?)替换表名和字段名
无限迭代中......
01-11 5345
基本概念 PreparedStatementStatement的改良版,具有预编译功能,方便使用,运行速度快。 问题描述 1.根据测试占位符?不能用于表名 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"per...
Statement和PreparedStatement之间的区别
01-14
PreparedStatement对象相比Statement对象具有更多的优点,因此在实际开发中,建议使用PreparedStatement对象来代替Statement对象。 知识点: 1. Statement对象和PreparedStatement对象的区别 2. PreparedStatement...
如何使用Java访问Web服务器MySQL数据库?
04-03
在实际项目中,为了代码的健壮性和可维护性,通常会使用`try-with-resources`语句块来自动关闭这些资源,并且考虑使用`PreparedStatement`代替`Statement`,以防止SQL注入攻击。 另外,如果你的Web服务器有防火墙或...
使用java 连接sql server2000 jar包
04-17
在实际开发中,为了代码的健壮性和可维护性,通常会使用DataSource对象代替直接使用DriverManager,以及使用try-with-resources语句自动关闭资源。此外,还可以通过PreparedStatement来执行参数化的SQL语句,提高...
mybatis如何防止SQL注入
01-05
- **尽量使用`#{}`**:在编写MyBatis的映射语句时,尽可能使用`#{}`来代替参数,这样可以确保所有的参数都通过预编译处理,从而避免SQL注入的风险。 - **对手工处理的参数进行过滤**:如果必须使用`${}`,例如在动态...
4、SQL注入漏洞pdf资料
最新发布
10-15
攻击者可以使用SQL注入来获得数据库中的敏感信息,例如数据库名、表名、列名和数据等。 三、SQL注入的类型 SQL注入可以分为两种类型: Boolean-based SQL injection 和 Time-based SQL injection。 四、SQL注入的...
PreparedStatement参数问题(已解决)
dearbaba_11的博客
05-19 1007
PreparedStatement参数问题(已解决)
PreparedStatement 浅谈
qq_34956796的博客
10-28 328
用过Mybatis的都应该了解 #{] ${} 的区别:一般较为常见的回答是:#{}是预编译处理,${}是字符串替换。 所以涉及到了 myabties的底层使用PreparedStatement。但是按照官方说法预编译功能是需要手动开启的。这里以mysql为例:MySQL启用预编译的先决条件是useServerPstmts=true。MySQL是否默认开启和jdbc的版本有很大关系,关系如下: ...
PreparedStatement不能动态设置表名和列名
hello
07-24 4675
static String url = "jdbc:mysql://localhost:3306/test?characterEncoding=utf8&useSSL=true"; static String user = "root"; static String password = "root"; public static void main(String[] str) t...
PreparedStatement不能动态设置表名
weixin_44187116的博客
07-02 668
pt = conn.prepareStatement("select * from table=? where sno=? and password=?"); pt.setString(1, status); pt.setString(2, account); pt.setString(3, password); 报错:You have an error in your SQL syntax; check the manual that correspond...
Oracle数据库PrepareStatement查不到结果
xiaoputizi的专栏
10-19 2494
Java中用 PreparedStatement语句查询 Oracle数据库没有结果?而如果直接使用 Statement语句查询却有结果集,怎么回事 第一种:不用占位符, java.sql.PreparedStatement ps = connection().prepareStatement("select * from test where name='hello'"); jav
PreparedStatement防止sql注入原理
程宇寒
12-18 6779
PreparedStatement类是java的一个类,准确说是jdbc规范中的一个接口,各个数据库产商的实现不同(即实现类不同),今天我们就以mysql数据库来说,我已经下载了mysql数据库的驱动jar包和驱动程序的源代码. sql注入的时候,比如,有些用户就会在界面上输入anything' OR 'x'='x这种东西,最后sql语句就是如下: SELECT * FROM users WH...
java中PreparedStatementStatement详细讲解
热门推荐
程宇寒
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
在Java中PreparedStatement可以有效防止SQL注入,而Statement却不行呢?
weixin_64688211的博客
12-30 234
SQL注入问题
怎么把表名定义为变量
05-24
在大多数编程语言中,可以使用字符串变量来代替表名。具体实现方法可能因不同的编程语言而有所不同,但通常可以使用以下步骤: 1. 定义一个字符串变量,用于存储表名。 2. 将该变量传递给执行 SQL 语句的函数或方法...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值