JDBC PreparedStatement 似乎忽略占位符

Question

鉴于PreparedStatement 的以下代码，我使用占位符 (?) 来填充 String：

String sql = "SELECT SUM(Premium), SUM(AgentComm)\n" +
                "FROM \"?_KLCommissions\" \n" +
                "WHERE AgentCode = \"?\";";

    PreparedStatement preparedStatement = conn.prepareStatement(sql);
    preparedStatement.setString(1, year);
    preparedStatement.setString(2, agent.getAgentNumber());

    ResultSet resultSet = preparedStatement.executeQuery();

但是，在执行查询时，我收到一条 SQL 错误：no such table: ?_KLCommissions。

为什么在处理查询时? 占位符没有被替换？

Answer 1

双引号中包含它，这意味着它不是占位符 - 它只是值的一部分。

除此之外，大多数 SQL 数据库不允许您将参数用于表名和列名等参数 - 只有 值 可以参数化。所以你可能需要直接构建表名部分，然后使用

WHERE AgentCode = ?

对于代理代码 - 因此您只需设置一个参数。所以像：

String tableName = year + "_KLCommissions";
// TODO: Put validation here unless you already have *complete confidence*
// that the value of "year" can't be messed around with.
String sql = "SELECT SUM(Premium), SUM(AgentComm) " +
             "FROM " + tableName + " " +
             "WHERE AgentCode = ?";

PreparedStatement preparedStatement = conn.prepareStatement(sql);
preparedStatement.setString(1, agent.getAgentNumber());
ResultSet resultSet = preparedStatement.executeQuery();

请注意那里的 TODO - 您真的不希望用户能够为 year 提供任意值，因为这样他们就可以在您的查询中添加任意 SQL。