JDBC で IN 句を効果的にパラメータ化するにはどうすればよいですか?

JDBC での IN 句のパラメータ化: 包括的なアプローチ

データベース クエリを操作する場合、入力値のパラメータ化はセキュリティとパフォーマンスの両方にとって重要です。 IN 句は、クエリの一部として複数の値を指定するためによく使用されます。JDBC には、SQL インジェクション攻撃を防ぐためにこれらの値をパラメータ化するメカニズムが用意されています。

ただし、JDBC で IN 句を直接パラメータ化する簡単な方法はありません。 。特定の JDBC ドライバーは、この目的のために PreparedStatement#setArray() をサポートしている場合がありますが、その可用性はデータベースによって異なります。

多用途でデータベースに依存しないアプローチの場合、ヘルパー メソッドを使用してプレースホルダーを生成し、値を動的に設定できます。

<code class="java">public static String preparePlaceHolders(int length) {
    return String.join(",", Collections.nCopies(length, "?"));
}

public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException {
    for (int i = 0; i < values.length; i++) {
        preparedStatement.setObject(i + 1, values[i]);
    }
}

これらのメソッドを適用する方法は次のとおりです。

<code class="java">private static final String SQL_FIND = "SELECT id, name, value FROM entity WHERE id IN (%s)";

public List<Entity> find(Set<Long> ids) throws SQLException {
    List<Entity> entities = new ArrayList<>();
    String sql = String.format(SQL_FIND, preparePlaceHolders(ids.size()));

    try (
        Connection connection = dataSource.getConnection();
        PreparedStatement statement = connection.prepareStatement(sql);
    ) {
        setValues(statement, ids.toArray());

        try (ResultSet resultSet = statement.executeQuery()) {
            while (resultSet.next()) {
                entities.add(map(resultSet));
            }
        }
    }

    return entities;
}</code>

特定のデータベースでは、IN 句で許可される値の数が制限されている場合があることに注意してください。たとえば、Oracle には 1000 項目という制限があります。クエリを設計する際にはこれを考慮することが重要であり、大きなリストをより小さなチャンクに分割する可能性があります。

以上がJDBC で IN 句を効果的にパラメータ化するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。