如何在Spring JDBC中将普通查询转换为参数化预准备语句?以下是我要改变的一条查询:
private String queryBuilder(Request request, Map<String, String> action) {
StringBuilder builder = new StringBuilder();
builder.append("select * " +
"from google_play " +
"where ID = '" + request.getId() + "' and " +
"SYS_CD = '" + request.getSystemCd() + "' and " +
"SYS_DT >='"+request.getSystemDate+"'");
return builder.toString();
}
有人可以建议一个正确的方法来改变这个查询,以避免SQL注入吗?我已经搜索了一个解决方案,但找不到一个确切的解决方案。
我建议开始使用Spring的JDBCTemplate,它将帮助您清理查询:
这将为您提供以下列方式指定参数的选项:
final String QUERY = "select * " +
"from google_play " +
"where ID = ? and " +
"SYS_CD = ? and " +
"SYS_DT >= ?);
然后查询:
YOUR_CLASS[] yourArray = jdbcTemplate.queryForObject(QUERY, request.getId(), request.getSystemCd(), request.getSystemDate, YOUR_CLASS[]);
YOUR_CLASS可以是例如Person,如果你查询Person表,我相信你的情况就像是一个GooglePlay实体。
那里有非常好的教程: