JDBC を使用した IN 句のパラメータ化: 総合ガイド
SQL クエリのパラメータ化は、SQL インジェクション攻撃を防ぐ重要なセキュリティ対策です。複数の値と一致する IN 句を扱う場合、異なるデータベース間でパラメータ化するための標準化されたアプローチを見つけるのは困難な場合があります。
データベース接続用の Java の標準 API である JDBC のコンテキストでは、専用のIN 句をパラメータ化する方法ではジレンマが生じます。一部の JDBC ドライバーは PreparedStatement#setArray() をサポートしている可能性がありますが、データベース間の互換性はまだ不確実です。
実行可能な解決策の 1 つは、Java の String#join() と Collections#nCopies() を利用してプレースホルダーを生成するヘルパー メソッドを利用することです。
次のヘルパー メソッドを検討してください。
<code class="java">public static String preparePlaceHolders(int length) { return String.join(",", Collections.nCopies(length, "?")); } public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException { for (int i = 0; i < values.length; i++) { preparedStatement.setObject(i + 1, values[i]); } }
これらのメソッドをカスタム JDBC メソッドに統合して、IN 句をパラメータ化できます。例:
<code class="java">private static final String SQL_FIND = "SELECT id, name, value FROM entity WHERE id IN (%s)"; public List<Entity> find(Set<Long> ids) throws SQLException { List<Entity> entities = new ArrayList<Entity>(); String sql = String.format(SQL_FIND, preparePlaceHolders(ids.size())); try ( Connection connection = dataSource.getConnection(); PreparedStatement statement = connection.prepareStatement(sql); ) { setValues(statement, ids.toArray()); try (ResultSet resultSet = statement.executeQuery()) { while (resultSet.next()) { entities.add(map(resultSet)); } } } return entities; } private static Entity map(ResultSet resultSet) throws SQLException { Enitity entity = new Entity(); entity.setId(resultSet.getLong("id")); entity.setName(resultSet.getString("name")); entity.setValue(resultSet.getInt("value")); return entity; }</code>
Oracle などの一部のデータベースでは、IN 句で許可される値の数に制限があることに注意することが重要です。したがって、JDBC で IN 句をパラメータ化するときは、これらの制限を考慮することをお勧めします。
以上がJDBC で IN 句をパラメータ化する方法: 包括的なガイド?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。