query = "UPDATE personal_details SET '" + field + "' = '" + edit + "' WHERE associate_id = '" + associate_id + "'";
ここで私のテーブル名はpersonal_details
であり、私はテーブルの列名を変数filedのパラメータとし、その新しい値を編集に取ります。このコードはJavaにあります。私がアクセスしているデータベースはPostgreSQLにあります。このように列名を渡すことはできますか?
、それが働くだろうが、あなたはこれらの変数があると仮定すると、SQLインジェクション攻撃に対して広く開か次のようになります。その代わりに、たとえば、パラメータを持つPreparedStatementを使用しますユーザー入力から来る –
はい、このようなクエリを渡すことができます。あなたはこれに関する問題に直面していますか? –
はい。私は一重引用符を削除しました。 query = "UPDATE personal_details SET" +フィールド+ "=" "+編集+" 'WHERE associate_id =' "+ associate_id +" '"; –