jdbc preparedstatement 自动转义问题
问题描述:
目前正在做一套框架,需求如下,
prepaerdstatement.setString 里面可以是一段sql语句
代码如下:
这一段代码是由框架自动完成好的,然后目的是将这个注入到sql中,但是 prepaerdstatement 自动在整个外围添加2个单引号,所以就不能执行,因为该框架式在mybtis3的基础上进行封装的,就是需要
pstmt.setString(' and 1=1 and 2=2 and 3=3 ') 这种需求;
[code="java"]
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class test {
public static void main(String[] args){
try{
Class.forName("com.mysql.jdbc.Driver");
}catch(ClassNotFoundException e1){
e1.printStackTrace();
}
String url="jdbc:mysql://localhost:3306/test";
Connection conn;
try {
conn = DriverManager.getConnection(url, "root","123456");
PreparedStatement st = conn.prepareStatement("select count(1) from (select * from test where 1=1 ?) tmp_count ");
st.setString(1, " and 1=1 and 2=2 and 3=3 ");
st.execute();
st.close();
conn.close();
} catch (SQLException e){
e.printStackTrace();
}
}
}
[/code]
答
说要这样需求的人,基本是不懂JDBC绑定变量的原理啊。
基于mybatis的话,可以这样做,写一个实现自mybatis自定义的拦截器,拦截StatementHandler的prepare方法,获取RowBounds中的sql,把需要拼接的sql动态拼接上去,再置回RowBounds,然后执行。