sql >> Database teknologi >  >> RDS >> PostgreSQL

Er det muligt at angive parametre for tabel- eller kolonnenavn i Prepared Statements eller QueryRunner.update()?

Svaret er nej, du kan ikke bruge tabelnavne i de udarbejdede opgørelser. De forberedte udsagn fungerer kun for kolonneværdier.

Dette kan normalt omgås med et alternativt skema, men hvis du virkelig har brug for det, kan du altid indbygge det valgfrie tabelnavn i forespørgslen ved at ændre forespørgselsstrengen. Hvis du gør det, skal du sørge for at rense dit input for at forhindre sql-injektion.




  1. SQL-datatyper:5 værste valg, du skal stoppe i dag

  2. Hvorfor kan jeg ikke indtaste denne dato i en tabel ved hjælp af sql?

  3. Sådan redigeres linkede serverindstillinger ved hjælp af T-SQL

  4. Hvornår skal jeg bruge semikolon i SQL Server?