>Java >java지도 시간 >JDBC에서 IN 절을 효과적으로 매개변수화하려면 어떻게 해야 합니까?

JDBC에서 IN 절을 효과적으로 매개변수화하려면 어떻게 해야 합니까?

Barbara Streisand
Barbara Streisand원래의
2024-11-01 01:02:28241검색

How Can I Parameterize IN Clauses in JDBC Effectively?

JDBC의 IN 절 매개변수화: 포괄적인 접근 방식

데이터베이스 쿼리 작업 시 입력 값을 매개변수화하는 것은 보안과 성능 모두에 중요합니다. IN 절은 일반적으로 쿼리의 일부로 여러 값을 지정하는 데 사용되며 JDBC는 SQL 주입 공격을 방지하기 위해 이러한 값을 매개변수화하는 메커니즘을 제공합니다.

그러나 JDBC에서 직접 IN 절을 매개변수화하는 간단한 방법은 없습니다. . 특정 JDBC 드라이버는 이 목적을 위해 ReadyStatement#setArray()를 지원할 수 있지만 데이터베이스 전반에 걸쳐 가용성은 다양합니다.

다양하고 데이터베이스에 구애받지 않는 접근 방식의 경우 도우미 메서드를 사용하여 자리 표시자를 생성하고 값을 동적으로 설정할 수 있습니다.

<code class="java">public static String preparePlaceHolders(int length) {
    return String.join(",", Collections.nCopies(length, "?"));
}

public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException {
    for (int i = 0; i < values.length; i++) {
        preparedStatement.setObject(i + 1, values[i]);
    }
}

이러한 방법을 적용하는 방법은 다음과 같습니다.

<code class="java">private static final String SQL_FIND = "SELECT id, name, value FROM entity WHERE id IN (%s)";

public List<Entity> find(Set<Long> ids) throws SQLException {
    List<Entity> entities = new ArrayList<>();
    String sql = String.format(SQL_FIND, preparePlaceHolders(ids.size()));

    try (
        Connection connection = dataSource.getConnection();
        PreparedStatement statement = connection.prepareStatement(sql);
    ) {
        setValues(statement, ids.toArray());

        try (ResultSet resultSet = statement.executeQuery()) {
            while (resultSet.next()) {
                entities.add(map(resultSet));
            }
        }
    }

    return entities;
}</code>

특정 데이터베이스에서는 IN 절에 허용되는 값의 수가 제한될 수 있습니다. 예를 들어 Oracle의 항목 제한은 1000개입니다. 쿼리를 디자인할 때 이를 고려하고 큰 목록을 더 작은 덩어리로 나눌 수 있는 것이 중요합니다.

위 내용은 JDBC에서 IN 절을 효과적으로 매개변수화하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.