JDBC의 IN 절 매개변수화: 포괄적인 접근 방식
데이터베이스 쿼리 작업 시 입력 값을 매개변수화하는 것은 보안과 성능 모두에 중요합니다. IN 절은 일반적으로 쿼리의 일부로 여러 값을 지정하는 데 사용되며 JDBC는 SQL 주입 공격을 방지하기 위해 이러한 값을 매개변수화하는 메커니즘을 제공합니다.
그러나 JDBC에서 직접 IN 절을 매개변수화하는 간단한 방법은 없습니다. . 특정 JDBC 드라이버는 이 목적을 위해 ReadyStatement#setArray()를 지원할 수 있지만 데이터베이스 전반에 걸쳐 가용성은 다양합니다.
다양하고 데이터베이스에 구애받지 않는 접근 방식의 경우 도우미 메서드를 사용하여 자리 표시자를 생성하고 값을 동적으로 설정할 수 있습니다.
<code class="java">public static String preparePlaceHolders(int length) { return String.join(",", Collections.nCopies(length, "?")); } public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException { for (int i = 0; i < values.length; i++) { preparedStatement.setObject(i + 1, values[i]); } }
이러한 방법을 적용하는 방법은 다음과 같습니다.
<code class="java">private static final String SQL_FIND = "SELECT id, name, value FROM entity WHERE id IN (%s)"; public List<Entity> find(Set<Long> ids) throws SQLException { List<Entity> entities = new ArrayList<>(); String sql = String.format(SQL_FIND, preparePlaceHolders(ids.size())); try ( Connection connection = dataSource.getConnection(); PreparedStatement statement = connection.prepareStatement(sql); ) { setValues(statement, ids.toArray()); try (ResultSet resultSet = statement.executeQuery()) { while (resultSet.next()) { entities.add(map(resultSet)); } } } return entities; }</code>
특정 데이터베이스에서는 IN 절에 허용되는 값의 수가 제한될 수 있습니다. 예를 들어 Oracle의 항목 제한은 1000개입니다. 쿼리를 디자인할 때 이를 고려하고 큰 목록을 더 작은 덩어리로 나눌 수 있는 것이 중요합니다.
위 내용은 JDBC에서 IN 절을 효과적으로 매개변수화하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!