À l'aide de Déclarations Préparées à la Table de jeu de Nom

Je suis en train d'utiliser les requêtes préparées pour définir un nom de table pour sélectionner les données à partir, mais je reçois une erreur lorsque j'essaie d'exécuter la requête.

L'erreur et de l'exemple de code est affiché en dessous.

[Microsoft][ODBC Microsoft Access Driver] Parameter 'Pa_RaM000' specified where a table name is required.



private String query1 = "SELECT plantID, edrman, plant, vaxnode FROM [?]"; //?=date
public Execute(String reportDate){
    try {

        Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");
        Connection conn = DriverManager.getConnection(Display.DB_MERC);
        PreparedStatement st = conn.prepareStatement(query1);
        st.setString(1, reportDate);
        ResultSet rs = st.executeQuery();

Des pensées sur ce qui pourrait être la cause?

  • Oui, d'entrée de désinfection afin d'éviter des injections SQL!
  • Si vous avez besoin de le remplacer par les noms de table dans une requête avec la même structure, il pointe à une faille dans votre conception de base de données. Au moins il souligne à plusieurs tables avec la même relation attributs. Normaliser dans un seul tableau avec une colonne "sujet".
InformationsquelleAutor Brandon | 2009-07-30
  1. 31

    Un nom de table ne peut pas être utilisé en tant que paramètre. Elle doit être codée en dur. Si vous pouvez faire quelque chose comme:

    private String query1 = "SELECT plantID, edrman, plant, vaxnode FROM [" + reportDate + "?]";
    • Ok merci, guess malade juste utiliser une chaîne de caractères de remplacement Accepté votre réponse que la réponse Merci!
    • Ne pas! C'est un secuiry question en raison de l'injection SQL.
    • utilisation org.apache.commons.lang.StringEscapeUtils.escapeSql sur le nom de la table à assurez-vous que vous ne mettez pas votre schéma à risque.
    • ce qui suggère la chaîne-la concaténation du nom de la table: ne le faites PAS. Cette façon de SQL-injection - le N ° 1 d'attaque dans OWASPs Top 10 (voir owasp.org/index.php/Top_10_2013-Top_10)
    • Il va sans dire que si vous allez faire cela, alors le nom de la table doit être dans la liste blanche (et vous devez utiliser la valeur de la liste blanche pas la valeur entrée, juste pour être sûr; regexes etc)
    • Ne pas utiliser org.apache.commons.lang.StringEscapeUtils.escapeSql. Elle a été frappée à la chambre des communes.lang3, et en tout cas ne remplace des guillemets simples avec des double guillemets simples. Il n'empêche pas d'injection SQL. Voir commons.apache.org/proper/commons-lang/article3_0.html et commons.apache.org/proper/commons-lang/javadocs/api-2.6/org/....

    InformationsquelleAutor camickr
  2. 1

    Cela est techniquement possible avec une solution de contournement, mais très mauvaise pratique.

    String sql = "IF ? = 99\n";
sql += "SELECT * FROM first_table\n";
sql += "ELSE\n";
sql += "SELECT * FROM second_table";
PreparedStatement ps = con.prepareStatement(sql);

    Et puis quand vous le souhaitez sélectionner à partir de première_table vous définissez le paramètre avec

    ps.setInt(1, 99);

    Ou si pas, vous le réglez à autre chose.

    InformationsquelleAutor mypetlion
  3. 0

    Comme un certain nombre de gens l'ont dit, vous ne pouvez pas utiliser une déclaration de paramètre pour un nom de table, uniquement pour les variables dans le cadre de l'état.

    Basée sur le fait que vous avez une variable nom de la table avec (au moins) deux noms de table, il serait peut-être préférable de créer une méthode qui prend de l'entité que vous êtes stockage et renvoie une déclaration préparée.

    PreparedStatement p = createStatement(table);
    InformationsquelleAutor Damien Allison
  4. 0

    Ce qui pourrait aider:

    public ResultSet getSomething(String tableName) {

PreparedStatement ps = conn.prepareStatement("select * from \`"+tableName+"\`");
ResultSet rs = ps.executeQuery();
}
    InformationsquelleAutor Tanvir Singh
  5. -2

    Je ne suis pas sûr que vous pouvez utiliser un PreparedStatement pour spécifier le nom de la table, juste la valeur de certains champs. De toute façon, vous pouvez essayer la même requête, mais, sans les parenthèses:

    "SELECT plantID, edrman, plant, vaxnode FROM ?"
    • Vous avez besoin de supports pour échapper à "/" dans les requêtes...ou peut être pour les dates. Je l'ai regardé jusqu'à l'été dernier
    InformationsquelleAutor Pierre
  6. -2
    String table="pass"; 

String st="select * from " + table + " ";

PreparedStatement ps=con.prepareStatement(st);

ResultSet rs = ps.executeQuery();
    • Pouvez-vous situer dans le contexte de votre réponse, que les futurs lecteurs peuvent apprendre à l'appliquer à leurs problèmes et pas seulement dans cette situation.
    • Vulnérable à une injection SQL. Ne faites PAS ça!
    InformationsquelleAutor Anoop
  7. -3

    Il y a un moyen de passer le nom de la table comme une variable

    Chaîne NameOfTable="test.Employé";

    Chaîne Fquery="SELECT * from "+NameOfTable+" où Fait=" Non"";

    Note:
    il devrait y avoir un espace entre le DE et le suivant "et aussi entre" et où le mot-clé

    • Vulnérable à une injection SQL. Absolument PAS une réponse!
    InformationsquelleAutor Vivek Bhardwaj