0

我有一些 Prepared 语句在不同的表上做同样的事情:

ReportImageWrongLang = con.prepareStatement("INSERT INTO userReportedWrongLang VALUES (?,?,?) ON DUPLICATE KEY UPDATE UserId=UserID");
ReportImageProhibited = con.prepareStatement("INSERT INTO userReportedImages VALUES (?,?,?) ON DUPLICATE KEY UPDATE UserId=UserID");

ReportElse = con.prepareStatement("INSERT INTO Reportelse VALUES (?,?,?) ON DUPLICATE KEY UPDATE UserId=UserID");

我根据我的 java 程序上的某个事件调用此语句。

我想将这 3 个语句更改为一个语句:

Report = con.prepareStatement("INSERT INTO ? VALUES (?,?,?) ON DUPLICATE KEY UPDATE UserId=UserID");

并将第一个参数设置为表名 (Report.setString (1,tableName))

但我收到此错误:

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''userreportedimages' VALUES ('3',331,1) ON DUPLICATE KEY UPDATE UserId=UserID' at line 1

有什么办法吗?

4

1 回答 1

0

您不能参数化 SQL 标识符,例如表名或列名。

但是,您可以编写一个 Java 函数,将表名或列名作为参数并将其连接到 SQL 字符串中。但是,请注意确保对其进行清理以防止 SQL 注入攻击。

也就是说,需要做这样的事情通常表明模式严重反规范化。具有相同结构的多个表通常可以(并且应该)组合成一个表,其中的一列指示两者之间的差异。

于 2013-04-27T19:35:48.347 回答