Errore con una semplice query parametrizzata - Java / SQL
https://stackoverflow.com/questions/5491107
-
14-11-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
A seguito di una delle mie domande precedenti da fare con metodo design lo eroconsigliato di implementare le mie query SQL come query parametrizzata rispetto a una semplice stringa.
Non ho mai usato query parametrizzate prima di così ho deciso di iniziare con qualcosa di semplice, prendi la seguente Seleziona Dichiarazione :
.
String select = "SELECT * FROM ? ";
PreparedStatement ps = connection.prepareStatement(select);
ps.setString(1, "person");
Questo mi dà il seguente errore: "[SQLite_Error] Errore SQL o database mancante (vicino"? ": Errore di sintassi)"
Ho quindi provato una versione modificata che ha criteri aggiuntivi;
.
String select = "SELECT id FROM person WHERE name = ? ";
PreparedStatement ps = connection.prepareStatement(select);
ps.setString(1, "Yui");
Questa versione funziona bene, nel mio primo esempio mi manca il punto di query parametrizzate o sto costruendo in modo errato?
Grazie!
Soluzione
Simply put, SQL binds can't bind tables, only where clause values. There are some under-the-hood technical reasons for this related to "compiling" prepared SQL statements. In general, parameterized queries was designed to make SQL more secure by preventing SQL injection and it had a side benefit of making queries more "modular" as well but not to the extent of being able to dynamically set a table name (since it's assumed you already know what the table is going to be).
Altri suggerimenti
If you want all rows from PERSON table, here is what you should do:
String select = "SELECT * FROM person";
PreparedStatement ps = connection.prepareStatement(select);
Variable binding does not dynamically bind table names as others mentioned above. If you have the table name coming in to your method as a variable, you may construct the whole query as below:
String select = "SELECT * FROM " + varTableName;
PreparedStatement ps = connection.prepareStatement(select);
Parameterized queries are for querying field names - not the table name!
Prepared statements are still SQL and need to be constructed with the appropriate where clause; i.e. where x = y. One of their advantages is they are parsed by the RDMS when first seen, rather than every time they are sent, which speeds up subsequent executions of the same query with different bind values.
