有没有办法使用其中的JdbcTemplate

Question

条款我运行一个查询像以前一样NamedParameters方式：

SELECT COLNAME FROM TABLEA GROUP BY COLNAME; 

COLNAME将通过在时间，所以我想避免在我的代码的SQL注入用户直接提供。所以，我想知道是否其可能给我写的查询，如：

SELECT ? FROM TABLEA GROUP BY ?; 

另一种选择是将用户输入的所有表的列名相匹配，但是，这种做法似乎是一个糟糕的方式做这个。

Answer 1

使用JdbcTemplate#queryForObject

I found some examples

Answer 2

这是不行的。已准备好的语句用于替换值而不是列名。你必须自己建立弦乐。

Answer 3

您不能使用参数标记列名称，表名称，数据 类型名称，或基本上不是数据的任何东西。

The reply is available here..