我正在尝试以允许使用参数的方式从 Java 代码针对 HSQLDB 数据库发出
CREATE USER但是,以下行:
connection.prepareStatement("CREATE USER ? PASSWORD ?;");
抛出异常:
java.sql.SQLSyntaxErrorException: unexpected token: ? in statement [CREATE USER ? PASSWORD ?;]
at org.hsqldb.jdbc.JDBCUtil.sqlException(Unknown Source)
at org.hsqldb.jdbc.JDBCUtil.sqlException(Unknown Source)
at org.hsqldb.jdbc.JDBCPreparedStatement.<init>(Unknown Source)
at org.hsqldb.jdbc.JDBCConnection.prepareStatement(Unknown Source)
at (somewhere in my code)
同样的情况发生在
connection.prepareStatement("CREATE ROLE ?;");
当然,我可以在没有
?所以我想知道为什么占位符不起作用。这些陈述是否得到支持?还是我还漏掉了其他东西?
一般情况下,数据库只允许在DML中使用参数,不允许在DDL中使用参数。在 DML 中,仅允许使用values。在
CREATE USERCREATE ROLE理论上,
PASSWORD作为防止 SQL 注入的一种次要形式,自 JDBC 4.3(在 Java 9 中引入)以来,您可以使用
Statement.enquoteIdentifierStatement.enquoteLiteral