JDBC操作SQL语句的注释和拼接

最新推荐文章于 2022-07-25 22:06:08 发布
最新推荐文章于 2022-07-25 22:06:08 发布
阅读量461 收藏
点赞数
文章标签: 数据库 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34019144/article/details/85128396
版权

   上网浏览帖子发现一个关于SQL中的in里面的参数动态添加的问题。

  

   通常in里面的参数通过一个子查询获得与该参数相同类型或者可互转换的类型的一个字段信息。实际中经常会用到有个数组,该数组的内容正好是作为in里面的参数列表。通过SQL拼接的方式一定能够实现,即便看起来比较繁琐。

   

下面是通过预编译命令和参数占位的方式来实现:

   

String sql = "select urlid, url from f_url where url in(?)";
        pstmt = conn.prepareStatement(sql);
        pstmt.setString(1, "/index.jsp,/login.jsp");
        rs = pstmt.executeQuery();

    上面代码的意图看起来是执行如下SQL:

select urlid, url from f_url where url in('/index.jsp','/login.jsp')

    实际上是:

select urlid, url from f_url where url in('/index.jsp,/login.jsp')

     因此上面的方法是错误的!!!


  另外PrepareStatment对象有一个void setArray (int parameterIndex, Array x)方法,万不可因为in里面的参数是同类型,看起来正好该方法满足需求,实时上这是对数据库中数组类型数据的支持,并不是作为此处使用。


   上面就网上看到的一帖问题做个Mark。


关于JDBC中SQL语句的拼接注意事项:

  1. 拼接内容数据类型和数据库数据类型一致或能够转换

  2. 单引号和双引号的匹对使用

  3. 内容中避免隐含中文不可见字符,全角字符等

  4. SQL复杂尽可能使用StringBuilder对象来构建或其他对象,避免“+”连字符使用(使用StringBuilder是需要注意的是在使用append方法的时候要留意拼接内容是否需要前后空格)

  5. 拼接的SQL放在数据库客户端执行检验是否通过(SQL调试方法)

  6. 最重要的是:避免SQL与代码紧密耦合,分离是更好的选择(可以统一管理)



下面是几个SQL字符串拼接的例子:

1.

String ins = "'/index.jsp','/login.jsp'";
        String sql = "select urlid, url from f_url where url in(" + ins + ")";


注意到in里面的参数类型是varchar,因而在拼接的时候参数值需要用单引号(“'”)引住。

2.

String ins = "10,11,12";
        String sql = "select urlid, url from f_url where urlid in(" + ins + ")";

注意到in里面的参数类型是int,因而直接拼接。


3.

StringBuilder sb = new StringBuilder();
        String ins = "10,11,12";
        sb.append("select urlid, url").append(" from f_url where urlid in(")
                .append(ins).append(")");

注意到在第二次调用append方法的时候,参数前面加了额外的空格,该空格将url和from分开,保证了SQL的正确性。


关于JDBC中SQL语句的注释:


    通常在程序中直接拼写SQL语句的时候很少去写注释,原因是SQL写在代码里本身就是一种丑陋的方式。通过文件或者其它地方读取SQL,然后在程序中执行,这个时候SQL中的注释却有可能影响到其正确性,主要问题源于SQL的换行。

   

     换行符:

     1.windows中的换行符是\r\n,

     2. linux/unix下的换行符是\n。


下面是在拼接SQL中使用注释的一些例子:

1.“--” 后的内容全部注释掉

String sql1 = "select urlid, url from f_url --注释";

2.

String sql2 = "select urlid, url from f_url --注释   \n where urlid > 10";

上面SQL注释内容之后使用了换行。程序实际执行的SQL是:

select urlid, url from f_url where urlid > 10";

3.

String sql2 = "select urlid, url from f_url \n --注释    where urlid <=10";

上面SQL中先使用了换行然后“--”注释后面内容。程序实际执行的SQL是:

select urlid, url from f_url

4.

String sql2 = "select urlid, --注释    url from f_url  where urlid > 10 \n  or urlid <=10";

上面SQL在程序中是无法执行通过的,注释符“--”破坏了SQL语法的正确性。需要在注释内容之后添加换行符才能保证SQL正确。


    通过上面4个例子,很容易发现注释特征。含有注释的SQL语句要想在程序中正常执行需要保证注释内容不破坏SQL语句语法的正确性,保证了SQL的语法正确性之后需要保证注释不能改变SQL原本期望的命令内容。


   简单明了就是保证注释后面有换行。

   注释破坏SQL通常来自程序从外部读取SQL的时候,去除掉了原本的换行,使得整个内容变为一行。比如:一个SQL脚本文件其中有多行,在读取其内容的时候使之变为一行,这时候其中的注释内容将影响到SQL在程序中的执行。

weixin_34019144
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JDBC:使用Statement操作数据库时产生的SQL注入问题原因分析
weixin_45873215的博客
12-16 592
SQL注入问题简单介绍 1.JDBC中使用Stement对数据库增删改查, 执行sql语句时使用拼接字符串会导致SQL注入 2.JDBC中使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其中登录数据库的账号和密码在java控制台中由键盘输入。 建表语句(本人使用的数据库是mysql数据库) create datebase basketball; use basketball; create table l
使用JDBC拼接SQL更新语句——Insert语句的代码思路
chilie9862的博客
07-01 1368
一、在使用JDBC拼接Insert into SQL语句的思路: 1、获取列名和字段列总数。 2、拼接Insert into 的字段部分 3、遍历ResultSet 变量拼接SQL语句的values部分,数据类型的转换 二、简单的生成SQL语句。 package ...
JDBC动态拼接sql语句
LuckFairyLuckBaby的博客
09-25 4526
public class Demo1 { private static String url = "jdbc:mysql://127.0.0.1:33056/test"; private static String username = "root"; private static String password = "123456"; ...
spring - JdbcTemplate条件in的SQL写法
GP的空间
07-13 2万+
一般大家习惯的用法如下: public List<Map<String, Object>> queryByFundid(int fundId) { String sql = "SELECT * FROM t_freeze_detail WHERE fund_id = ? AND flag = ? AND freeze_state = ?"; re
jdbctemplate 执行多条sql_SpringBoot2.x教程——整合使用JdbcTemplate
weixin_39899776的博客
11-29 778
我在上一章节中,重点讲解了Spring中关于DataSource的一些理论知识点,接下来本章节我主要是带大家学习JdbcTemplate的使用。一. JdbcTemplate1. JdbcTemplate简介JDBC虽然能够满足大部分用户最基本的需求,但是在使用JDBC时,必须自己来管理数据库的资源,如获取PreparedStatement,设置SQL语句参数,关闭连接等操作,使用起来非常的麻烦。...
常用数据库JDBC URL拼写格式
Wanger_tt的博客
03-08 1087
Microsoft SQL ServerMicrosoft SQL Server JDBC Driver (一般用来连接 SQLServer 2000)驱动程序包名:msbase.jar mssqlserver.jar msutil.jar 驱动程序类名: com.microsoft.jdbc.sqlserver.SQLServerDriver JDBC URL: jdbc:microsoft:
JDBC的介绍和连接数据库执行sql语句的流程
MADE_哒哒
04-25 1749
一、首先介绍一下什么JDBC 现在的应⽤系统⼤多都离不开数据库,Java程序访问数据库的基本⽅式是通过JDBCJDBC(Java DataBase Connectivity,Java数据库连接)技术的简称,是⼀种⽤于执⾏SQL语句的Java API。它由⼀组⽤Java编程语⾔编写的类和接⼝组成。这个API由 java.sql.*,javax.sql.* 包中的⼀些...
MyBatis动态SQL是一项强大的特性,它允许我们在编写SQL语句时根据条件动态地添加或删除某些部分,从而实现更加灵活和高效的
最新发布
04-28
在传统的JDBC或其他类似的框架中,开发人员通常需要手动拼接SQL语句,这种做法不仅繁琐而且容易出错。而MyBatis动态SQL则通过标签的形式在XML映射文件中编写,从而避免了手动拼接SQL所带来的麻烦。这种方式不仅提高...
DM JDBC执行SQL脚本
weixin_61894388的博客
07-25 1740
JDBC(Java DataBase Connectivity)即java数据库连接,它是一种用于执行SQL语句的Java API,是由一组用Java语言编写的类和接口组成,其本质就是java官方提供的一套规范(接口)。用于帮助开发人员快速实现不同关系型数据库的连接;不同的数据库厂商,针对这套接口,提供不同的数据库驱动,即Java实现类;达梦为DM8版本提供的JDBC驱动DmJdbcDriver18.jar,DM7版本对应使用DmJdbcDriver17.jar.......
JDBC详解
热门推荐
LiLi的博客
01-01 3万+
1.JDBC是什么? Java DataBase Connectivity(Java语言连接数据库) 2.JDBC的本质是什么? JDBC是SUN公司制定的一套接口(interface) java.sql.*;(这个软件包下有很多接口) 接口都有调用者和实现者。 面向接口调用、面向接口写实现类,这都属于面向接口编程。 为什么要面向接口编程? 解耦合:降低程序的耦合度,提高程序的扩展力。 多态机制就是非常典型的:面向抽象编程。(不要面向具体编程) 建议: Animal a = new Cat
Hive入门教程<3>| 使用JDBC操作hive的两种方式
懵懂bigdata象
11-19 7578
JDBC操作Hive一、启动hadoop集群二、在hive的安装目录下的bin/目录下启动hiveserver2三、两种JDBC操作方式一、虚拟机中的hive的beeline端二、Windows本地idea集成开发环境1、创建maven项目并添加依赖到pom.xml文件2、代码编写:2、执行程序 一、启动hadoop集群 hive是基于hadoop 二、在hive的安装目录下的bin/目录下启动hiveserver2 ./hive2server2 三、两种JDBC操作方式 一、虚拟机中的hive的b
JDBC进阶使用(代码+注释
summeblace的博客
07-27 296
JDBC进阶使用(代码+注释)前言一、JDBC工具类二、JDBC配置文件三、使用JDBC工具类的实例四、SQL语句采用字符串拼接的方式五、PreparedStatement方式六、JDBC的事务管理的实例总结 前言 全是JDBC代码,包括了JDBC的所有用法。主要记录自己的jdbc的学习,并且在将来可以回顾。 一、JDBC工具类 import java.io.FileReader; import java.io.IOException; import java.net.URL; import java.sq
5.26 MySql
05-31 308
<br />1 .mysql对xml的支持:<br />MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML(),下面是这两个函数的使用示例: <br />还是一样我们首先建立一个示例数据库,然后将范例中使用的XML文档输入到数据库中: <br /><br />   CREATE TABLE x (doc VARCHAR(150)); INSERT INTO x VALUES (' <book> <title>A guid
jdbc总结5-preparedStatement解决-sql语句的拼写问题
zhangxucumt的博客
08-29 411
在读写数据库的时候在经常遇到要拼写sql语句的问题 例如 插入一个数据 // 获取数据库操作对象 Statement stat=cnn.createStatement(); // 执行sql语句 String sql="insert into student(name,sex,id,age)values('zhangsan6','boy',123,18)"; int row=stat.executeUpdate(sql); 在开发过程中,‘zhangsan6’,‘boy’,123,18这些信
java jdbc sql 参数_在JDBC中使用带参数的SQL语句
weixin_31459035的博客
02-16 1393
ADO.Net中,支持带参数的SQL语句,例如:Select * from Tables where column1=@column1,其中@column1为SQL参数,使用起来非常方便,而JDBC中没有找到此功能,感觉有点不便, 于是想自己实现一个.今天正好看见csdn中有一篇http://blog.csdn.net/wallimn/article/details/3734242 文章,有些感触...
sql的where里动态拼接条件
FreeJVM
01-12 8274
以前用过iBatis,她的动态拼接sql功能在多条件查询时使用很方便; 如果必须在一个sql的where里动态拼接一个条件,怎么做呢? 先看看pl/sql伪代码(不用具体考虑其应用场景): [code="plsql"] if 状态='1' then --状态为'1'时,where里要加入:结束时间>离开时间 结束时间>离开时间 else --否则,wher...
java使用jdbc连接oracle,实现自定义sql查询,加载字段注释
u010636072的博客
07-26 667
java使用jdbc连接oracle,实现自定义sql查询,加载字段注释 第一步、加载驱动 引用包 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.ResultSetMeta...
mysql直接拼接in_mysql in函数拼接条件问题
weixin_34982726的博客
01-30 1174
String[] orderIds = query.getOrderId().split(",");StringBuffer buffer = new StringBuffer();for (String orderId : orderIds) {buffer.append(orderId).append(",");}buffer.deleteCharAt(buffer.length() - 1)...
Java JDBC操作SQL Server数据库实战
"该资源是关于使用JDBC进行SQL Server数据库的增删改查操作,同时涉及JavaScript的非空验证。文件中展示了DAO层(数据访问层)的实现,包括连接池的配置,以及Controller层(控制层)的职责。" 在Java开发中,JDBC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值