条款我运行一个查询像以前一样NamedParameters方式:有没有办法使用其中的JdbcTemplate
SELECT COLNAME FROM TABLEA GROUP BY COLNAME;
COLNAME
将通过在时间,所以我想避免在我的代码的SQL注入用户直接提供。所以,我想知道是否其可能给我写的查询,如:
SELECT ? FROM TABLEA GROUP BY ?;
另一种选择是将用户输入的所有表的列名相匹配,但是,这种做法似乎是一个糟糕的方式做这个。
条款我运行一个查询像以前一样NamedParameters方式:有没有办法使用其中的JdbcTemplate
SELECT COLNAME FROM TABLEA GROUP BY COLNAME;
COLNAME
将通过在时间,所以我想避免在我的代码的SQL注入用户直接提供。所以,我想知道是否其可能给我写的查询,如:
SELECT ? FROM TABLEA GROUP BY ?;
另一种选择是将用户输入的所有表的列名相匹配,但是,这种做法似乎是一个糟糕的方式做这个。
使用JdbcTemplate#queryForObject
这是不行的。已准备好的语句用于替换值而不是列名。你必须自己建立弦乐。
您不能使用参数标记列名称,表名称,数据 类型名称,或基本上不是数据的任何东西。