Question

我试图在Preparedstatement中参数化值，如下所示

PreparedStatement ps = Connection.prepareStatement("select col_a,? from TABLE_A");
ps.setString(1,"myValue");
ps.execute();

我想要以下回复

COL_A    myValue
-----------------
val1     myValue
val2     myValue

可与下面的普通sql相媲美。

select col_a,'myValue' 
from TABLE_A

Answer 1

您无法对列名称进行参数化。

对于动态列名，您需要使用dynamic SQL，这可以打开SQL注入。