Bagaimana untuk Parameter Klausa IN dengan JDBC: Panduan Komprehensif?

Menparameterkan Klausa IN dengan JDBC: Panduan Komprehensif

Menparameterkan pertanyaan SQL ialah langkah keselamatan penting yang menghalang serangan suntikan SQL. Apabila berurusan dengan klausa IN, yang sepadan dengan berbilang nilai, mencari pendekatan piawai untuk meparameterkannya merentasi pangkalan data yang berbeza boleh menjadi mencabar.

Dalam konteks JDBC, API standard Java untuk sambungan pangkalan data, kekurangan satu khusus kaedah untuk meparameterkan klausa IN menimbulkan dilema. Walaupun sesetengah pemacu JDBC mungkin menyokong PreparedStatement#setArray(), keserasiannya merentas pangkalan data masih tidak pasti.

Satu penyelesaian yang berdaya maju ialah menggunakan kaedah pembantu yang memanfaatkan String#join() dan Collections#nCopies() Java untuk menjana ruang letak dan tetapkan nilai secara berulang menggunakan PreparedStatement#setObject().

Pertimbangkan kaedah pembantu berikut:

<code class="java">public static String preparePlaceHolders(int length) {
    return String.join(",", Collections.nCopies(length, "?"));
}

public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException {
    for (int i = 0; i < values.length; i++) {
        preparedStatement.setObject(i + 1, values[i]);
    }
}

Kaedah ini kemudiannya boleh disepadukan ke dalam kaedah JDBC tersuai untuk meparameterkan klausa IN. Contohnya:

<code class="java">private static final String SQL_FIND = "SELECT id, name, value FROM entity WHERE id IN (%s)";

public List<Entity> find(Set<Long> ids) throws SQLException {
    List<Entity> entities = new ArrayList<Entity>();
    String sql = String.format(SQL_FIND, preparePlaceHolders(ids.size()));

    try (
        Connection connection = dataSource.getConnection();
        PreparedStatement statement = connection.prepareStatement(sql);
    ) {
        setValues(statement, ids.toArray());

        try (ResultSet resultSet = statement.executeQuery()) {
            while (resultSet.next()) {
                entities.add(map(resultSet));
            }
        }
    }

    return entities;
}

private static Entity map(ResultSet resultSet) throws SQLException {
    Enitity entity = new Entity();
    entity.setId(resultSet.getLong("id"));
    entity.setName(resultSet.getString("name"));
    entity.setValue(resultSet.getInt("value"));
    return entity;
}</code>

Adalah penting untuk ambil perhatian bahawa sesetengah pangkalan data, seperti Oracle, mengenakan had pada bilangan nilai yang dibenarkan dalam klausa IN. Oleh itu, adalah dinasihatkan untuk mempertimbangkan had ini apabila meparameterkan klausa IN dalam JDBC.

Atas ialah kandungan terperinci Bagaimana untuk Parameter Klausa IN dengan JDBC: Panduan Komprehensif?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!