PreparedStatement setString IN 传多个参数

最新推荐文章于 2021-02-24 09:15:42 发布
转载 最新推荐文章于 2021-02-24 09:15:42 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/a565810497/p/10827154.html

在使用PreparedStatement处理IN操作时,直接传入以逗号分隔的字符串会导致查询错误。预编译的SQL不接受字符串如'a,b,c',而是将其视为一个整体。解决方法是手动替换逗号并添加单引号,或者根据分隔符创建对应数量的占位符,并将字符串切割成多个参数进行传入。对于PG数据库,此问题尤其需要注意。" 112223727,10545308,延时摄影技巧:用C语言计算日出日落时间,"['C语言编程', '摄影技巧', '延时摄影', '设备推荐', '日出日落摄影']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天在使用PreparedStatement进行预编译时,发现使用IN(String) 传入一个字符串一逗号为分隔符却失效,例如传入"a,b,c", 查询的不是"a" "b" "c"三个数据,而是"a,b,c"一个数据

 

SELECT d.* FROM TLK_列表_分页 d WHERE 1=1  AND ITEM_多行文本二 IN ( ?)

这条语句中的参数在使用PrepareStatement来预编译之后,是不可以传入一个拼接字符串的,比如

String test="'a','b','c'";
prepareStatement.setString(1,test);

想要达到执行效果

SELECT d.* FROM TLK_列表_分页 d WHERE 1=1  AND ITEM_多行文本二 IN ('a','b','c')

但是实际执行的sql语句是:

SELECT d.* FROM TLK_列表_分页 d WHERE 1=1  AND ITEM_多行文本二 IN ('a'',''b'',''c')

 

它不是查询 'a','b','c'这三个元素,而是查询'a,b,c,'这一个元素,所以达不到预期的效果

后来想过既然它插入的字符串是逗号两边少了单引号的话我就replace把 ","换成" ',' "

这样以后实际执行的sql语句是:

SELECT d.* FROM TLK_列表_分页 d WHERE 1=1  AND ITEM_多行文本二 IN ('a'',''b'',''c')

单引号变成了双引号,其实是sql防注入起了作用,它对单引号自动进行了转义 ' 变成了  '' 给单引号加多一个引号进行了转义。

于是只好使用笨办法,

String test里面有几个参数,那就有几个占位符 ?

就是当 String test="'a','b','c'"; 有两个逗号时,sql就应该是:

SELECT d.* FROM TLK_列表_分页 d WHERE 1=1  AND ITEM_多行文本二 IN ( ?,?,?)

这样就OK了。

添加占位符的代码如下:

        
                String temp = "IN ( ? ";
          //判断逗号出现的次数
                int n = test.length() - test.replaceAll(",", "").length();
           //根据参数的数量决定占位符的数量
                    if (sql.contains(temp)) {
            //循环添加占位符的次数要比逗号出现的次数多一次,即参数的数量。
                        for (int i = 0; i < n; i++) {
                            sql = sql.replace(temp, temp + ",?");
                            temp = temp + ",?";
                        }
                    }
                
            }

 这样为sql添加了对应的占位符后,如果不把test字符串进行切割,依然会报错,因为如果进行了添加占位符,你的sql变成了

SELECT d.* FROM TLK_列表_分页 d WHERE 1=1  AND ITEM_多行文本二 IN ( ?,?,?)

这样你就需要传入三个参数,仅仅是传入“a,b,c”的话是满足不了条件的。

     List<Object> sqlParameters;

 if (text.contains(",")) {
                int n = text.length() - text.replaceAll(",", "").length();
                //切割参数添加到sqlParameters
                for (int i = 0; i <= n; i++) {
                    String s = text.split(",")[i];
                    sqlParameters.add(i, text.split(",")[i]);
                }
                //添加完切割的参数后删除原来未切割的参数
                sqlParameters.remove(text);
            }

用List切割完以后就可以传入数据了。

 for (Object sqlParameter : sqlParameters) {
                parameterIndex++;
                if (sqlParameter instanceof String) {
                    preparedStatement.setString(parameterIndex, (String) sqlParameter);
                }

这个写法是可以满足PG数据库的

可以参考网站:https://blog.youkuaiyun.com/lismooth/article/details/76934980

转载于:https://www.cnblogs.com/a565810497/p/10827154.html

JDBC PreparedStatement setString IN 多个参数
asuyunlong的专栏
07-11 5881
在使用JDBCPreparedStatement 进行SQL预编译时,发现使用IN(String) 入一个字符串(逗号为分隔符),查询结果不正确。 以下面SQL为例,进行测试。 SELECT * FROM EMP T WHERE T.ENAME IN ('BLAKE', 'ADAMS') Java中通过 ? 占位符参。 错误的方式: 直接入一个拼接字符串。因为会把拼接的字符串当作一个元素去查询。 测试未通过的方式: PreparedStatement statement = con.
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL;
小枯林的博客
04-11 686
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 3057
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
PrepareStatement sql语句in多个参数的实现
热门推荐
LIsmooth的博客
08-08 2万+
下边是今天探索PrepareStatement预编译where条件为in的sql语句的过程,在mysql环境中只有第四种方法实现了,Oracle中可能第三种也可以不过没有测试,如果有需要可以直接跳转。1.通过拼接字符串设置参数×今天在实现一个数据库批量更新的代码时,发现String sql = "UPDATE t_demo SET columns='Well' WHERE column_id IN
PreparedStatementin(?)中参数
weixin_45157155的博客
03-26 2425
若是直接往in(?)中入字符串str="‘a’,‘b’",那么sql就会把str看成一个值 select * from table1 where id in ("'a','b'"); 但是我要的是入2个值,一个是"a",一个是"b" select * from table1 where id in ('a','b'); 最后决定在sql中就拼接进str String str="'a','b...
PreparedStatementsetString用法
weixin_43971862的博客
10-09 8530
源码中:void setString(int parameterIndex, String x) throws SQLException; 实际开发中,conn = DriverManager.getConnection(url, userName, password);//自己链接数据库 PreparedStatement pstmtInsert = conn.prepareStatement(“INSERT INTO student VALUES(?, ?, ?, ?)”); // 创建语句,里面的参数
JDBC PreparedStatement SQL IN条件
06-09
JDBC PreparedStatement 可以使用 SQL IN 条件通过一个参数多个值,具体操作步骤如下: 1. 构建 SQL 语句,使用问号占位符代替需要递的参数。例如:SELECT * FROM table_name WHERE column_name IN (?, ?, ?)...
public static void getconnect(String webName,String detailUrl,String title,String detailResult,String date,String currDate) throws Exception { // DriverManager 注册驱动 // Connection 数据库连接对象 url(指定连接的路径 语法:“jdbc:mysql://ip地址:端口号/数据库名称”) Class.forName("oracle.jdbc.driver.OracleDriver"); Connection com = DriverManager.getConnection("jdbc:oracle:thin:@192.168.2.42:1521:orcl", "bxkc", "bxkc"); System.out.println("successfully"); try { // 创建预编译的SQL插入语句 String sql = "inset into XIN_XI_INFO_TEST(SOURCE_NAME,DETAIL_LINK,DETAIL_TITLE,DETAIL_CONTENT,PAGE_TIME," + "CREATE_TIME,LIST_TITLE,CREATE_BY)" + "value (?,?,?,?,?,?,?)"; PreparedStatement preparedStatement = com.prepareStatement(sql); // 设置参数的值 preparedStatement.setString(1, webName);//网站名 preparedStatement.setString(2, detailUrl);//详情链接 preparedStatement.setString(3, title);//详情标题 preparedStatement.setString(4, detailResult);//正文HTML preparedStatement.setString(5, date);//列表时间 preparedStatement.setString(6, currDate);//创建时间 preparedStatement.setString(7, title);//列表标题 preparedStatement.setString(8, "zzh");//创建者名称 // 执行预编译的语句 int rowsAffected = preparedStatement.executeUpdate(); if (rowsAffected > 0) { System.out.println("Insertion successful. Rows affected: " + rowsAffected); } else { System.out.println("Insertion failed."); } // 关闭PreparedStatement preparedStatement.close(); } catch (SQLException e) { e.printStackTrace(); } // 执行 增删改查 (DML)语句用 int executeUpdate(Sting sql); // 执行 DQL 语句 ResultSet executeQuery(String sql); // 对象释放 void close(); com.close(); }无效的列索引这是什么意思
最新发布
03-08
这里设置了8个参数,但SQL语句中只有7个占位符,所以当执行到第8个参数时,会抛出“无效的列索引”错误,因为索引超出了预编译语句中占位符的数量。 总结问题点: 1. SQL关键字拼写错误:“inset”和“value”需要...
PreparedStatement:Java EE中高效参数化SQL的关键
在使用PreparedStatement时,必须先通过`setXXX`方法(如`setInt`, `setString`, `setDouble`等)来设置每个占位符对应的参数值,确保数据的安全性和正确性。例如,如代码所示: ```java PreparedStatement pstmt = ...
JDBC API 4.2(六):PreparedStatement 接口源码分析
码客
11-24 1706
文章目录1、简述2、PreparedStatement 类图3、为什么要使用PreparedStatement?4、PreparedStatement 接口常用方法5、PreparedStatement 性能6、PreparedStatement 接口示例6.1、使用 PreparedStatement6.2、复用PreparedStatement 1、简述 Java JDBC PreparedS...
PreparedStatement的使用
随心更博
07-03 2496
一、PreparedStatement概述     在数据库的操作过程中,PreparedStatement 对象是一个接口对象,它继承于Statement,并与之在两方面有所不同:     1)PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数IN参数
JDBC PreparedStatement 批量查询 in 的实现 方案
weixin_33720452的博客
06-07 1599
我们经常会有这种业务需求,根据一个条件集合去查询一张表的数据,比如:select * from tablename t where t.name in (List <taskids>);在java语言中,我们需要用到JDBC来和数据库打交道,那么在JDBC中该如何处理这种需求呢?我们可以有如下几种处理方式 方案一:写一个函数把参数集合转换成一个or 条件 或 in 条件的字符串,最后拼...
java setstring_- PreparedStatement类型中的方法setString(int,String)不适用于参数(String,String,String,String,Str...
weixin_39902472的博客
02-24 1477
我写了get方法,但我想编写set方法,但它给了我错误说 - 类型PreparedStatement中的方法setString(int,String)不适用于参数(String,String,String,String,字符串,)我的代码如下包com.glomindz.mercuri.dao;import java.sql.Connection;import java.sql.PreparedSt...
PreparedStatement 查询 In 语句 setArray 等介绍。
weixin_30371469的博客
02-23 1697
ps = conn.prepareStatement("SELECT tid,jdp_response FROM jdp_tb_trade WHERE tid IN (?) ORDER BY created DESC"); ps.setString(1, "3152892500240988,3152893300713891"); 本人如上使用 prepareStatement 结果只能...
in方式的参数
growing1224的博客
03-10 3065
发现问题 对于预编译的SQL语句,in(?)该如何参呢,?中是一个列表,如'1','2','3'.直接替换后应该是 in ('1','2','3'),但是把'1','2','3'进却不能正确的执行取得结果,跟踪发现参数转义了,变成in (''1','2','3'') ,导致结果不对。 正确参考思路1: PreparedStatement statement = connection.p...
关于PreparedStatementin的使用
joe_zhjiang的专栏
06-14 4132
错误代码: [code="java"] String[] names = new String[]{'name1','name2','name3'}; StringBuffer buffer = new StringBuffer(); buffer.append(names[0]).append(",").append(names[1]).append(",").append(names[...
关于PreparedStatement以及Jpa中in参数的设置
u014529211的博客
07-24 8654
关于PreparedStatement以及Jpa中in参数的设置在实际开发的过程中,都会遇到sql语句需要in参数的问题,小白我在开发的过程中也踩了好多坑,今天这里结合一些大大给的答案,简单的总结一下使用PreparedStatement以及在JPA中使用Query时, in后面的参数设置的方法。PreparedStatement in参数设置PreparedStatement中本身提供的方法s
Java PreparedStatement IN子句替代
从零开始的教程世界
07-10 2005
If you are using JDBC API to run queries on database, you should know that PreparedStatement is the better choice than Statement. However since JDBC API allows only one literal for one “?” parameter, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值