Paramétrage des clauses IN dans JDBC : une approche globale
Lorsque vous travaillez avec des requêtes de base de données, le paramétrage des valeurs d'entrée est crucial à la fois pour la sécurité et les performances. La clause IN est couramment utilisée pour spécifier plusieurs valeurs dans le cadre d'une requête, et JDBC fournit des mécanismes pour paramétrer ces valeurs afin d'empêcher les attaques par injection SQL.
Cependant, il n'existe aucun moyen simple de paramétrer une clause IN directement dans JDBC. . Certains pilotes JDBC peuvent prendre en charge PreparedStatement#setArray() à cette fin, mais sa disponibilité dans les bases de données varie.
Pour une approche polyvalente et indépendante de la base de données, vous pouvez utiliser des méthodes d'assistance pour générer des espaces réservés et définir des valeurs de manière dynamique :
<code class="java">public static String preparePlaceHolders(int length) { return String.join(",", Collections.nCopies(length, "?")); } public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException { for (int i = 0; i < values.length; i++) { preparedStatement.setObject(i + 1, values[i]); } }
Voici comment appliquer ces méthodes :
<code class="java">private static final String SQL_FIND = "SELECT id, name, value FROM entity WHERE id IN (%s)"; public List<Entity> find(Set<Long> ids) throws SQLException { List<Entity> entities = new ArrayList<>(); String sql = String.format(SQL_FIND, preparePlaceHolders(ids.size())); try ( Connection connection = dataSource.getConnection(); PreparedStatement statement = connection.prepareStatement(sql); ) { setValues(statement, ids.toArray()); try (ResultSet resultSet = statement.executeQuery()) { while (resultSet.next()) { entities.add(map(resultSet)); } } } return entities; }</code>
Notez que certaines bases de données peuvent limiter le nombre de valeurs autorisées dans une clause IN. Par exemple, Oracle a une limite de 1 000 éléments. Il est essentiel d'en tenir compte lors de la conception de vos requêtes et éventuellement de diviser les grandes listes en morceaux plus petits.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!