我正在使用Spring的JdbcTemplate,并执行以下查询:
SELECT COLNAME FROM TABLEA GROUP BY COLNAME
没有传递命名参数,但是列名COLNAME将由用户传递。
问题
是否有一种方式可以使用占位符(例如?)来代替列名?例如SELECT ? FROM TABLEA GROUP BY ?
如果我想简单地运行以上查询并获取一个List<String>,最好的方法是什么?
目前我正在执行以下操作:
List<Map<String, Object>> data = getJdbcTemplate().queryForList(query);
for (Map m : data) {
System.out.println(m.get("COLNAME"));
}
要填充字符串列表,您无需使用自定义行映射器。可以使用 queryForList 实现。
List<String>data=jdbcTemplate.queryForList(query,String.class)
String queryString = "SELECT "+ colName+ " FROM TABLEA GROUP BY "+ colName;
List<String> data = getJdbcTemplate().query(query, new RowMapper<String>(){
public String mapRow(ResultSet rs, int rowNum)
throws SQLException {
return rs.getString(1);
}
});
编辑:为了防止SQL注入,请检查colName中的非单词字符:
Pattern pattern = Pattern.compile("\\W");
if(pattern.matcher(str).find()){
//throw exception as invalid column name
}
使用以下代码:
List data = getJdbcTemplate().queryForList(query,String.class)
您不能在列名、表名、数据类型名称或基本上不是数据的任何内容中使用占位符。
getJdbcTemplate().query("SELECT ? FROM TABLEA GROUP BY ?", new RowMapper<String>(){ public String mapRow(ResultSet rs, int rowNum) throws SQLException { return rs.getString(1); } }, colName, colName);- Jean