Преобразование запроса в параметризованные подготовленные операторы в шаблоне java jdbc

Question

Как я могу преобразовать обычный запрос в параметризованный подготовленный оператор весной JDBC? Ниже приведен фрагмент запроса, который я пытаюсь изменить:

private String queryBuilder(Request request, Map<String, String> action) {
    StringBuilder builder = new StringBuilder();
    builder.append("select * " +
                   "from google_play " +
                   "where ID = '" + request.getId() + "' and " +
                   "SYS_CD = '" + request.getSystemCd() + "' and " +
                   "SYS_DT >='"+request.getSystemDate+"'");
    return builder.toString();
}

Может кто-нибудь предложить правильный способ изменить этот запрос, чтобы избежать внедрения SQL? Я нашел решение для этого, но не смог найти точное.

Answer 1

Я бы предложил начать использовать Spring JDBCTemplate, это поможет вам санировать запросы:

Это даст вам возможность указать параметры следующим образом:

final String QUERY = "select * " +
        "from google_play " +
        "where ID = ? and " +
        "SYS_CD = ? and " +
        "SYS_DT >= ?);

А затем запросить его с помощью:

YOUR_CLASS[] yourArray = jdbcTemplate.queryForObject(QUERY, request.getId(), request.getSystemCd(), request.getSystemDate, YOUR_CLASS[]);

YOUR_CLASS может быть, например, Person, если вы запрашиваете таблицу Person, я думаю, в вашем случае это будет что-то вроде сущности GooglePlay.

Есть действительно хорошие учебники:

• https://www.baeldung.com/spring-jdbc-jdbctemplate
• https://www.journaldev.com/17053/spring-jdbctemplate-example
• https://www.mkyong.com/spring/spring-jdbctemplate-querying-examples/
• https://www.baeldung.com/spring-jdbc-jdbctemplate