jdbc preparedstatement 自动转义问题

目前正在做一套框架,需求如下,
prepaerdstatement.setString 里面可以是一段sql语句

代码如下:

这一段代码是由框架自动完成好的,然后目的是将这个注入到sql中,但是 prepaerdstatement 自动在整个外围添加2个单引号,所以就不能执行,因为该框架式在mybtis3的基础上进行封装的,就是需要

pstmt.setString(' and 1=1 and 2=2 and 3=3 ') 这种需求;

[code="java"]
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class test {

public static void main(String[] args){
    try{
        Class.forName("com.mysql.jdbc.Driver");
    }catch(ClassNotFoundException e1){
        e1.printStackTrace();
    }
    String url="jdbc:mysql://localhost:3306/test";    
    Connection conn;
    try {
        conn = DriverManager.getConnection(url,    "root","123456");
       PreparedStatement st = conn.prepareStatement("select count(1) from (select * from test where 1=1 ?) tmp_count ");
       st.setString(1, " and 1=1  and 2=2 and 3=3 ");
       st.execute();
        st.close();
        conn.close();
    } catch (SQLException e){
        e.printStackTrace();
    }
}

}

[/code]

1个回答

说要这样需求的人,基本是不懂JDBC绑定变量的原理啊。

基于mybatis的话,可以这样做,写一个实现自mybatis自定义的拦截器,拦截StatementHandler的prepare方法,获取RowBounds中的sql,把需要拼接的sql动态拼接上去,再置回RowBounds,然后执行。

joaboo
joaboo 上面写错了,RowBounds中获取的是offset,limit,sql是在BoundSql中获取的.
6 年多之前 回复
dsgdsg
dsgdsg 只能写插件了
6 年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问
相关内容推荐