PreparedStatement不能动态设置表名和列名

最新推荐文章于 2023-08-31 14:46:52 发布
最新推荐文章于 2023-08-31 14:46:52 发布
阅读量4.8k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java Java数据库操作 文章标签: Java的PreparedStatement用法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_20936333/article/details/81190433
本文详细解析了在Java中使用PreparedStatement进行SQL操作时常见的错误,特别是关于不可将表名和字段名作为动态参数的问题,提供了代码示例并指出正确的使用方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

static String url = "jdbc:mysql://localhost:3306/test?characterEncoding=utf8&useSSL=true";
	static String user = "root";
	static String password = "root";
	public static void main(String[] str) throws SQLException {
		Driver driver = new com.mysql.jdbc.Driver();
		Connection connection = null;
		PreparedStatement preparedStatement = null;
		// set property
		Properties props = new Properties();
		props.setProperty("user", user);
		props.setProperty("password", password);
		try {
			// 连接数据库
			connection = driver.connect(url, props);
			// 使用占位符的SQl语句
			String sql = "insert into ?(id,username,age)" + "values(?,?,?)";
			preparedStatement = connection.prepareStatement(sql);
			preparedStatement.setString(1, "member5");
			preparedStatement.setInt(2, 6);
			preparedStatement.setString(3, "tom");
			preparedStatement.setInt(4, 29);
			// 执行更新操作
			preparedStatement.executeUpdate();
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			// 释放资源
			connection.close();
		}
	}

报错:

 

总结: 
PreparedStatement只能用来为参数(如参数值)设置动态参数,即用?占位,不可用于表名、字段名等

 

MyBatis 动态传入,字段参数的解决办法
lemonminer的博客
07-02 1766
作为参数进行的查询1.介绍mybatis中${}#{}的用法差异2.实现分查询,动态表、字段查询 1.介绍mybatis中${}#{}的用法差异 动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态sql进行处理。下面让我们先来熟悉下mybatis里#{}与${}的用法: 在动态sql解析过程,#{}与${}的效果是不一样的: #{ } 解析为一个 JDBC 预编译语句(prepared
详解MyBatis直接执行SQL查询及数据批量插入
09-02
而`${}`则是直接替换为变量值,不进行预编译,适用于动态构建SQL语句,但需注意SQL注入风险。 - **resultType与resultMap**:如果SQL查询的列名Java对象的属性完全匹配,可以省略`resultMap`,直接使用`...
PreparedStatement不能动态设置
weixin_44187116的博客
07-02 798
pt = conn.prepareStatement("select * from table=? where sno=? and password=?"); pt.setString(1, status); pt.setString(2, account); pt.setString(3, password); 报错:You have an error in your SQL syntax; check the manual that correspond...
间接实现动态传入
机器学习菜鸟
01-30 1008
问题是这样,想实现select * from ? order  by ?通过对?动态设置参数,实现对不同的查询 直接利用PreparedStatement st = con.prepareStatement(sql);然后执行 会报无效的错误 下面是间接实现这样的操作 利用字符串替换的方法 sql = String.format(sql, table); 这样在sql配置文件
preparestatement
bit-cafe
04-30 1213
//使用预处理来连接数据库 import java.sql.*; public class  DDD{ public static void main(String []args) {   String driver ="com.mysql.jdbc.Driver";   String URL="jdbc:mysql://localhost:3306/d
java statement 动态参数_PreparedStatement动态参数的引入实例
weixin_39555579的博客
02-13 503
一.PreparedStatement 概述在数据库的操作过程中,PreparedStatement 对象是一个很不起眼但是记为重要的接口对象,它继承 于Statement,并与之在两方面有所不同:1)PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的...
PreparedStatement不能用来设置、字段
曹利荣的博客
01-25 1270
今天动手写课程设计,JDBC某处用到PreparedStatement,最初想将、字段、字段值都作为参数用?代替,可是实践之后发现行不通。 最初想这样写: preparedStatement = connection.prepareStatement("select * from ? where ?=?"); preparedStatement.setString(1, tableNa...
JDBC 用PreparedStatement语句动态操作SQL语句
ZJE
01-11 8097
1.Statement PreparedStatement: Statement接口只能操作静态SQL语句(即SQL语句中操作的数据,变量等等都是固定的,不能变化的)。而PreparedStatement接口则可以动态操作SQL语句(即SQL语句中的变量的值是可以变化的)。 2.问号“?” 问好的作用:在一个SQL语句中,把需要变化的部分用“?”代替。 如:String sq
Mybatis动态调用字段的解决方法
09-01
本文将深入探讨如何在Mybatis中实现动态调用字段。 首先,了解Mybatis中两种参数占位符的区别:`#{}``${}`。`#{}`被解析为预编译语句(PreparedStatement)的参数标记符,比如`#{name}`会被解析为`?`,这...
jsp连接数据库,实现在网页中输入账户密码数据库列名,输出数据库中的结果
04-23
好的,您需要在网页中输入账户密码数据库列名,然后输出数据库中的结果。接下来,我将提供一个简单的 JSP 代码示例,可用于连接数据库并输出结果。 1. 首先,您需要在 JSP 页面中添加以下代码来引入 Java...
PreparedStatement创建自定义
07-14
请注意,某些数据库可能不允许在 SQL 语句中使用占位符来列名。在这种情况下,你可能需要通过字符串拼接的方式来构建完整的 SQL 语句。但是请确保避免 SQL 注入攻击,即不要直接将用户输入的数据拼接到 ...
MyBatis要实现动态传入列名
最新发布
一个搬砖工人
08-31 2864
这意味着MyBatis会为SQL语句创建一个PreparedStatement,并使用User对象的nameage属性来填充占位符。statementType:STATEMENT(非预编译),PREPARED(预编译)或CALLABLE中的任意一个,这就告诉 MyBatis 分别使用Statement,PreparedStatement或者CallableStatement。在MyBatis中,statementType是一个枚举类型,它指定了在MyBatis配置文件中mapper XML文件中的每个。
jdbc,prepareStatement,为变量时无法使用占位符‘?’
daggerin7的博客
12-21 2108
java操作有些数据库比如clickhouse暂时还用的是jdbc,执行sql时面临使用statement还是prepareStatement,其中statement写的简单不过会有sql注入最后安全检查不过。prepareStatement就不会,因为使用了占位符,?,像myBatis也是占位符,就不会有sql注入。 不过?只能替换值,不能替换,诸多原因,编译上的,还有?其实两边默认有单引号。那如何prepareStatement使用占位符替换呢? 答案简单的说,没有! 参考sql - Ho
PrepareStatement中的动态sql及时间处理
weixin_43729186的博客
04-16 721
动态sql public int updateBooks(Books books) throws SQLException { //获取连接 Connection conn = DBUtils.getConnection(); //存储参数 List params = new ArrayList(); ...
JDBC中使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1384
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以写在这里大家一起学习
java preparestatement sql注入_浅析StatementPreparedStatement,SQL注入
weixin_30950075的博客
03-06 2742
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web单提交或输入域或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
PreparedStatement预编译无法用?占位符替换字段
LiQiyao的博客
04-29 7066
PreparedStatement是Statement的改良版,具有预编译功能,方便使用,运行速度快。 可以通过?占位符把字段值替换,之后通过setXXX方法,注入字段值。 但是?占位符只能替换字段值,不能替换、字段或者其他关键词。
mybatis动态表列名
q1424966670的博客
09-16 8771
@Override public Integer handleAlarmBatchRecovery(Map<String, Object> paramMap) { String idString = (String)paramMap.get("auuid");//旧告警id,sac告警id,新告警auuid String[] idList = idString.split(","); List<String> list = Arrays.asList(idList);.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值