PostgreSQL
 sql >> Datenbank >  >> RDS >> PostgreSQL

Ist es möglich, Parameter für den Tabellen- oder Spaltennamen in Prepared Statements oder QueryRunner.update() anzugeben?

Die Antwort ist nein, Sie können keine Tabellennamen in den vorbereiteten Anweisungen verwenden. Die vorbereiteten Anweisungen funktionieren nur für Spaltenwerte.

Dies kann normalerweise mit einem alternativen Schema umgangen werden, aber wenn Sie es wirklich brauchen, können Sie jederzeit den optionalen Tabellennamen in die Abfrage einbauen, indem Sie die Abfragezeichenfolge ändern. Stellen Sie in diesem Fall sicher, dass Sie Ihre Eingaben bereinigen, um eine SQL-Einschleusung zu verhindern.