[問題] 關於prepareStatement

看板java作者jeff21115 (問蒼天)時間8年前 (2016/10/01 10:03)推噓5(5推 0噓 13→)

留言18則, 6人參與討論串1/1

各位大大我想請問一下用preparedStatement 可以把完整的sql指令當成一個參數傳入嗎? 例如 //sql為方法傳入的參數內容視為整的sql指令 PreparedStatement pstmt = null; String sss = "?"; pstmt = con.prepareStatement(sss); pstmt.setString(1,sql) pstmt.executeQuery(); 我試過這樣寫程式會錯誤網頁開不起來想請問一下要怎麼解決 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.223.29 ※ 文章網址: https://www.ptt.cc/bbs/java/M.1475287389.A.378.html

→

pttworld

10/01 10:40, , 1^F

10/01 10:40, 1^F

→

pttworld

10/01 10:40, , 2^F

10/01 10:40, 2^F

→

qrtt1

10/01 11:52, , 3^F

10/01 11:52, 3^F

推

haha02

10/01 14:35, , 4^F

10/01 14:35, 4^F

推

haha02

10/01 14:37, , 5^F

10/01 14:37, 5^F

→

haha02

10/01 14:37, , 6^F

10/01 14:37, 6^F

因為東西只能在測試環境跑所以手邊也沒LOG可以上傳來看其實我也不想這樣寫只是前幾天CODESCAN的時候掃出一堆有風險的寫法因為大多是STATEMENT.EXECUTE()這方面所以想說改用PREPARESTATEMENT 把整串SQL當參數傳入之前試過這樣CODESCAN掃可以過不過這寫法有錯不能用所以想問大家有沒有改寫的方法@@ ※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 17:10:34

→

ssccg

10/01 21:12, , 7^F

10/01 21:12, 7^F

→

ssccg

10/01 21:13, , 8^F

10/01 21:13, 8^F

→

ssccg

10/01 21:15, , 9^F

10/01 21:15, 9^F

→

ssccg

10/01 21:15, , 10^F

10/01 21:15, 10^F

→

ssccg

10/01 21:17, , 11^F

10/01 21:17, 11^F

例如 protected ArrayList AABB(Connection con, String sql, boolean isTrim) throws ServiceException, SQLException, Exception { ArrayList aList = new ArrayList(); Statement stm = null; ResultSet rs = null; ResultSetMetaData rsmd = null; try { stm = con.createStatement(); rs = stm.executeQuery(sql); while (rs.next()) { 例如像這樣的一個方法 SQL傳入後就被執行掃描的時候會被認為有風險對於這種情況不知道該怎麼改 ※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 21:59:22

→

ssccg

10/01 22:09, , 12^F

10/01 22:09, 12^F

推

haha02

10/01 22:14, , 13^F

10/01 22:14, 13^F

→

haha02

10/01 22:14, , 14^F

10/01 22:14, 14^F