本文共 1911 字，大约阅读时间需要 6 分钟。

1、首先要从一个sql查询说起，小编有一个需求，由于数据量比较大，是分表的，

根据不同的输入号码，到不同的表中查询，取编号前两位，就能路由到对应该表；

例如号码 33***********，对应存储数据的表名就是：tableName_33，所以这样表名作为sql动态参数传入，

就是非常方便的；

最开始这么写的：

2、但是运行以后报错了，报错日志粘贴：

Cause: java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''name_roster_33' where id_card='33***'' at line 1

; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''name_roster_33' where id_card='33***'' at line 1     at org.springframework.jdbc.support.SQLErrorCodeSQLExceptionTranslator.doTranslate(SQLErrorCodeSQLExceptionTranslator.java:231) ~[spring-jdbc-4.3.13.RELEASE.jar:4.3.13.RELEASE]     at org.springframework.jdbc.support.AbstractFallbackSQLExceptionTranslator.translate(AbstractFallbackSQLExceptionTranslator.java:73) ~[spring-jdbc-4.3.13.RELEASE.jar:4.3.13.RELEASE]     at org.mybatis.spring.MyBatisExceptionTranslator.translateExceptionIfPossible(MyBatisExceptionTranslator.java:73) ~[mybatis-spring-1.3.1.jar:1.3.1]

 

3、报错异常截图如下：

 

4、检查了一下并也没有sql语法拼写错误，

sql预编译语句：SQL: select roster_type from ? where id_card=?

仔细检查一下报错日志，name_roster_33是我的表名，为什么编译出来后被加了引号呢？

check the manual that corresponds to your MySQL server version for the right syntax to use near ''name_roster_33' where id_card='330404199920091229'' at line 1

; bad SQL grammar []

 

5、这才想起可能是占位符使用的问题，那么就要到 ${} 和 #{}问题上：

#{}会被解析为预编译语句（Prepared statement）的参数标记符,把参数部分用占位符 ? 代替：

select roster_type from ? where id_card=?  ，

预编译以后，传入的参数都会带上单引号''，所以无法进行sql注入；

 

${} 为字符串替换，即 sql 拼接，不会加上单引号 ''，传入什么参数就是什么参数：

这里的表名，传入name_roster_33，sql就会解析成 select roster_type from name_roster_33 where id_card=?  ， ,就会去查询这张表，不报错了；

但是这种方式，有sql注入风险，所以能用 #{}的时候，我们就用，如果不能用例如在表名是参数，或者 order by, group by  后面需要跟列名的时候，也需要用 ${}才能正确解析sql语句；

 

转载地址：http://xcwzb.baihongyu.com/