JdbcTemplate 不支持参数化查询“IN"的情况?必须
时间:2023-09-30问题描述
为了防止 SQL 注入攻击,我项目中的所有 SQL 语句代码都应该转换为参数化查询.但是当查询条件包含IN"案例时,我遇到了问题.像这样(使用 DB2 数据库):
Aimed at preventing SQL injection attacks, all the SQL Statement code in my project should transformed to Parameterized Query. But I got a problem when the query condition includes a 'IN' case. Like this (Using DB2 database):
String employeeId = 'D2309';
String name = "%brady%";
List<Integer> userRights = new ArrayList<Integer>();
userRights.add(1);
userRights.add(2);
userRights.add(3);
String sql = "SELECT * FROM T_EMPLOYEE WHERE EMPLOYEE_ID = ? AND NAME LIKE ?
AND RIGHT IN (?)";
jdbcTemplate.query(sql, new Object[] {employeeId, name, userRights}, new
EmployeeRowMapper());
以上代码运行失败,出现异常:
The above code runs failed with the exception:
org.springframework.jdbc.BadSqlGrammarException: PreparedStatementCallback; bad
SQL grammar [SELECT * FROM T_EMPLOYEE WHERE EMPLOYEE_ID = ? AND NAME LIKE ? AND
RIGHT IN (?)]; nested exception is com.ibm.db2.jcc.am.io: [jcc][1091][10824]
[3.57.82] .... ERRORCODE=-4461, SQLSTATE=42815
这里的问题是 JdbcTemplate 不支持 IN case 的参数化查询吗?我知道这项工作可以通过NamedParameterJdbcTemplate来完成,是否只有NamedParameterJdbcTemplate可以做IN case查询?
The question here is that does not JdbcTemplate support Parameterized Query for IN case? and I know this work can be done by NamedParameterJdbcTemplate, and whether only NamedParameterJdbcTemplate can do IN case query?
非常感谢.
推荐答案
正如我在评论中已经提到的,我对这个解决方案并不满意,因为它会动态生成许多 SQL 语句.鉴于 userRights 的数量介于 1 和 n 之间,它需要在缓存中最多 n 个准备好的语句.
As I already mentioned in the comments, I'm not happy with this solution as it dynamically generates a number of SQL statements. Given the number of userRights is between 1 and n, it requires up to n prepared statements in the cache.
以下应该可以工作(我没有尝试过).
The below should work (I did not try it).
String employeeId = 'D2309';
String name = "%brady%";
List<Integer> userRights = new ArrayList<Integer>();
userRights.add(1);
userRights.add(2);
userRights.add(3);
// build the input string
StringBuilder sb = new StringBuilder();
for (int i = 0; i < userRights.size; i++) {
sb.append("?");
if (i < userRights.size() - 1) {
sb.append(", ");
}
}
// build the SQL
String sql = "SELECT * FROM T_EMPLOYEE WHERE EMPLOYEE_ID = ?" +
" AND NAME LIKE ?" +
" AND RIGHT IN (" + sb.toString() + ")";
// init the object array
// size is employeeId + name + right
Object[] param = new Object[2 + userRights.size()];
// fill it
param[0] = employeeId;
param[1] = name;
for (int i = 0; i < userRights.size(); i++) {
param[i + 2] = userRights.get(i);
}
jdbcTemplate.query(sql, param, new EmployeeRowMapper());
这篇关于JdbcTemplate 不支持参数化查询“IN"的情况?必须按 NamedParameterJdbcTemplate 吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持html5模板网!
相关文章
如何检测 32 位 int 上的整数溢出?How can I detect integer overflow on 32 bits int?(如何检测 32 位 int 上的整数溢出?)- return 语句之前的局部变量,这有关系吗?Local variables before return statements, does it matter?(return 语句之前的局部变量,这有关系吗?)
- 如何将整数转换为整数?How to convert Integer to int?(如何将整数转换为整数?)
- 如何在给定范围内创建一个随机打乱数字的 intHow do I create an int array with randomly shuffled numbers in a given range(如何在给定范围内创建一个随机打乱数字的 int 数组)
- java的行为不一致==Inconsistent behavior on java#39;s ==(java的行为不一致==)
- 为什么 Java 能够将 0xff000000 存储为 int?Why is Java able to store 0xff000000 as an int?(为什么 Java 能够将 0xff000000 存储为 int?)
最新文章
如何使用 SimpleDateFormat.parse() 将 Calendar.toString()How can I Convert Calendar.toString() into date using SimpleDateFormat.parse()?(如何使用 SimpleDateFormat.parse() 将 Calendar.toString() 转换为日期?)- Java 中的 DB2 连接速度极慢
- JPA 2.0 Provider Hibernate 3.6 for DB2 v9.5 type 2 驱动程序
- 使用准备好的语句进行选择查询时出现 SQL 异常
- 发生 DB2 连接授权失败原因:Java 中不支持安全机制
- 如何在 SQL 中使用 NOT EXISTS 和 COMPOSITE KEYS 从 POJ
- 如何检查用户的 DB2 SYSADM 或 SYSCTRL 授权
- 为机器登录用户以外的特定用户运行创建/删除
- 为什么 DB2 Type 4 JDBC Driver 正在寻找本机库 db2jcc
- Weblogic:调用没有模式名称的 DB2 存储过程(属性
- 如何连接hibernate和DB2