Spring JDBC中NamedParameterJdbcTemplate的使用，包括in的用法_namedparameterjdbctemplate 注入

前言

项目中使用到了Spring JDBC, 一般jdbcTemplate基本可以满足我们的需求，我们可以通过?占位符来传参，方式sql注入。
例如：

@Override
	public boolean queryMultBySpuId(String spuId, String companyId) {
		String sql = "SELECT goods_commonid FROM zcy_goods_item WHERE goods_commonid=? AND company_id=? ";
		try {
			List<String> commonidList=jdbcTemplate.queryForList(sql, new String[]{spuId, companyId},String.class);
			if (CollectionUtils.isEmpty(commonidList)) {
				return false;
			} else {
				return true;
			}
		} catch (DataAccessException e) {
			return false;
		}

1
2
3
4
5
6
7
8
9
10
11
12
13
14

问题

如果我们在sql中使用了in，那么通过?占位符来传参是不能解决问题的，直接拼接sql又会有sql注入的风险。这种情况下我们可以使用NamedParameterJdbcTemplate 来解决问题。
NamedParameterJdbcTemplate支持具名参数
PS:具名参数: SQL 按名称(以冒号开头)而不是按位置进行指定. 具名参数更易于维护, 也提升了可读性. 具名参数由框架类在运行时用占位符取代

解决办法

1. 获得NamedParameterJdbcTemplate实例，在NamedParameterJdbcTemplate 构造器中直接传入JdbcTemplate的实例即可，如下：

NamedParameterJdbcTemplate nameJdbc = new NamedParameterJdbcTemplate(jdbcTemplate);

1
2

2. 使用NamedParameterJdbcTemplate实例，我们可以把in中的参数放入map中，值为List<String>

paramMap.put("itemIds", Arrays.asList(itemIds.split(",")))
1

代码如下：

	@Override
	public List<Item> selectItemByIds(String itemIds) {
		NamedParameterJdbcTemplate nameJdbc = new NamedParameterJdbcTemplate(jdbcTemplate);
		Map<String,Object> paramMap = new HashMap<String, Object>();
		try {
			String sql = "SELECT  *  FROM zcy_goods_item WHERE id IN(:itemIds) ORDER BY id DESC";
			paramMap.put("itemIds", Arrays.asList(itemIds.split(",")));
			return nameJdbc.query(sql,paramMap, new BeanPropertyRowMapper<Item>(Item.class));
		} catch (DataAccessException e) {
			return null;
		}
	}
1
2
3
4
5
6
7
8
9
10
11
12

总结

本文主要介绍了NamedParameterJdbcTemplate的使用，通过NamedParameterJdbcTemplate我们可以把in中的参数放入map中，值为List<String>完美的解决了in参数的传递问题。