PostgreSQL
 sql >> Base de données >  >> RDS >> PostgreSQL

Est-il possible de fournir des paramètres pour le nom de la table ou de la colonne dans les instructions préparées ou QueryRunner.update() ?

La réponse est non, vous ne pouvez pas utiliser les noms de table dans les déclarations préparées. Les instructions préparées ne fonctionneront que pour les valeurs de colonne.

Cela peut généralement être contourné avec un autre schéma, mais si vous en avez vraiment besoin, vous pouvez toujours créer le nom de table facultatif dans la requête en modifiant la chaîne de requête. Si vous le faites, assurez-vous de nettoyer votre entrée pour éviter l'injection SQL.