使用JDBC 參數化IN 子句的最佳方法
簡介
使用資料庫🎜>簡介
使用資料庫查詢時,有必要參數化輸入值以防止SQL 注入攻擊。 IN 子句經常用於匹配查詢中的多個值,參數化該子句對於安全性和靈活性至關重要。
IN 子句的 JDBC 參數化
在 JDBC 中,沒有直接參數化 IN 子句的簡單方法。但是,有幾種方法可以提供解決方法:
透過加入所需數量的佔位符列表使用 String#join() 的問號。
<code class="java">public static String preparePlaceHolders(int length) {
return String.join(",", Collections.nCopies(length, "?"));
}
public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException {
for (int i = 0; i < values.length; i++) {
preparedStatement.setObject(i + 1, values[i]);
}
}Java 實作: 某些 JDBC 驅動程式支援 IN 子句的PreparedStatement#setArray()。 資料庫注意事項 以上是如何在 JDBC 中參數化 IN 子句:最佳實務是什麼?的詳細內容。更多資訊請關注PHP中文網其他相關文章!<code class="java">private static final String SQL_FIND = "SELECT * FROM MYTABLE WHERE MYCOL IN (SELECT value FROM VALUES %s)";
public List<Entity> find(Set<Long> ids) throws SQLException {
// ... (code similar to previous example)
String sql = String.format(SQL_FIND, preparePlaceholders(ids.size()));
// ... (remaining code)
}</code>登入後複製
