jOOQ串聯字符串拒絕使用的原因實例

Posted on by

jOOQ開箱即支持大量的SQL語法。因此,大多數用戶在使用JDBC編寫動態SQL時,不會像以前那樣采用字符串連接的方式。 但時不時地,jOOQ不支持某個廠商的特定功能(是的,它發生瞭)。在這種情況下,jOOQ支持各種"普通SQL "API,它可以用來構造幾乎所有類型的jOOQ API元素,比如:

但是,有時候,你需要動態地傳遞一個參數給這樣的函數,比如說另一個列的表達式。而你想以一種類型安全的方式做到這一點,因為jOOQ代碼生成器已經產生瞭類型安全的列表達式。所以你可能會傾向於串聯,盡管如此:

field("cool_function(1, " + MY_TABLE.MY_COLUMN + ", 3)");

千萬不要這樣做!因為這些原因:

  • 盡管jOOQ在一般情況下是非常安全的SQL註入,但事實上你還是可以在這裡引入一個普通的SQL註入漏洞。在這種情況下不會,因為該列是生成的代碼,但也許,你會把用戶的輸入連接起來。請註意,為瞭增加SQL註入保護,可以通過添加我們的PlainSQL檢查器,使用檢查器框架或Google ErrorProne,在全局范圍內防止普通SQL的使用,隻在需要時允許本地使用。
  • 和以往的字符串連接一樣,你很容易出現SQL語法錯誤。在這種情況下,生成的SQL不針對任何方言,因為MY_TABLE.MY_COLUMN.toString() ,沒有任何上下文信息,如SQLDialect 和所有其他配置標志。

相反,使用jOOQ的純SQL模板小語言,它允許模板占位符,如{0}, {1}, {2} :

field("cool_function(1, {0}, 3)", MY_TABLE.MY_COLUMN);

如果你經常這麼做,你可以在你自己的迷你DSL中考慮這個調用:

public static Field<String> coolFunction(Field<?> field) {
    field("cool_function(1, {0}, 3)", field);
}

而現在,像這樣調用:

coolFunction(MY_TABLE.MY_COLUMN)

作為一個經驗法則:使用jOOQ,你應該永遠不需要借助於SQL字符串連接,你可以始終使用以下兩種方法:

  • 類型安全的jOOQ DSL API
  • 普通的SQL模板API(最好是把這種用法隱藏在你自己的類型安全DSL API後面)

以上就是jOOQ串聯字符串拒絕使用的原因實例的詳細內容,更多關於jOOQ串聯字符串的資料請關註WalkonNet其它相關文章!

推薦閱讀: