|
|
上网浏览帖子发现一个关于SQL中的in里面的参数动态添加的问题。
通常in里面的参数通过一个子查询获得与该参数相同类型或者可互转换的类型的一个字段信息。实际中经常会用到有个数组,该数组的内容正好是作为in里面的参数列表。通过SQL拼接的方式一定能够实现,即便看起来比较繁琐。
下面是通过预编译命令和参数占位的方式来实现:
String sql = "select urlid, url from f_url where url in(?)";
pstmt = conn.prepareStatement(sql);
pstmt.setString(1, "/index.jsp,/login.jsp");
rs = pstmt.executeQuery();
上面代码的意图看起来是执行如下SQL:
select urlid, url from f_url where url in('/index.jsp','/login.jsp') 实际上是:
select urlid, url from f_url where url in('/index.jsp,/login.jsp') 因此上面的方法是错误的!!!
另外PrepareStatment对象有一个void setArray (int parameterIndex, Array x)方法,万不可因为in里面的参数是同类型,看起来正好该方法满足需求,实时上这是对数据库中数组类型数据的支持,并不是作为此处使用。
上面就网上看到的一帖问题做个Mark。
关于JDBC中SQL语句的拼接注意事项:
- 拼接内容数据类型和数据库数据类型一致或能够转换
- 单引号和双引号的匹对使用
- 内容中避免隐含中文不可见字符,全角字符等
- SQL复杂尽可能使用StringBuilder对象来构建或其他对象,避免“+”连字符使用(使用StringBuilder是需要注意的是在使用append方法的时候要留意拼接内容是否需要前后空格)
- 拼接的SQL放在数据库客户端执行检验是否通过(SQL调试方法)
- 最重要的是:避免SQL与代码紧密耦合,分离是更好的选择(可以统一管理)
下面是几个SQL字符串拼接的例子:
1.
String ins = "'/index.jsp','/login.jsp'";
String sql = "select urlid, url from f_url where url in(" + ins + ")";
注意到in里面的参数类型是varchar,因而在拼接的时候参数值需要用单引号(“'”)引住。
2.
String ins = "10,11,12";
String sql = "select urlid, url from f_url where urlid in(" + ins + ")";
注意到in里面的参数类型是int,因而直接拼接。
3.
StringBuilder sb = new StringBuilder();
String ins = "10,11,12";
sb.append("select urlid, url").append(" from f_url where urlid in(")
.append(ins).append(")");
注意到在第二次调用append方法的时候,参数前面加了额外的空格,该空格将url和from分开,保证了SQL的正确性。
关于JDBC中SQL语句的注释:
通常在程序中直接拼写SQL语句的时候很少去写注释,原因是SQL写在代码里本身就是一种丑陋的方式。通过文件或者其它地方读取SQL,然后在程序中执行,这个时候SQL中的注释却有可能影响到其正确性,主要问题源于SQL的换行。
换行符:
1.windows中的换行符是\r\n,
2. linux/unix下的换行符是\n。
下面是在拼接SQL中使用注释的一些例子:
1.“--” 后的内容全部注释掉
String sql1 = "select urlid, url from f_url --注释"; 2.
String sql2 = "select urlid, url from f_url --注释 \n where urlid > 10"; 上面SQL注释内容之后使用了换行。程序实际执行的SQL是:
select urlid, url from f_url where urlid > 10"; 3.
String sql2 = "select urlid, url from f_url \n --注释 where urlid 10 \n or urlid |
|
QQ群⑧:
窥视卡
雷达卡
发表于 2018-10-17 08:23:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡