Самый чистый способ построить строку SQL в Java

Question

Самый чистый способ построить строку SQL в Java

86

Я хочу создать строку SQL для обработки базы данных (обновления, удаления, вставки, выборки, что-то вроде этого) - вместо ужасного метода строки concat с использованием миллионов "+" и кавычек, которые в лучшем случае нечитаемы - должен быть лучший способ.

Я думал об использовании MessageFormat, но его предполагалось использовать для пользовательских сообщений, хотя я думаю, что он выполнил бы разумную работу, но я думаю, что должно быть что-то более согласованное с операциями типа SQL в java-sql-библиотеках.

Будет ли Groovy быть хорошим?

Vidar 16 дек. 2008, в 08:43

Источник

Теги:

java

string

sql

oracle

14 ответов

54

Для произвольного SQL используйте jOOQ. В настоящее время jOOQ поддерживает SELECT, INSERT, UPDATE, DELETE, TRUNCATE и MERGE. Вы можете создать SQL следующим образом:

String sql1 = DSL.using(SQLDialect.MYSQL)  
                 .select(A, B, C)
                 .from(MY_TABLE)
                 .where(A.equal(5))
                 .and(B.greaterThan(8))
                 .getSQL();

String sql2 = DSL.using(SQLDialect.MYSQL)  
                 .insertInto(MY_TABLE)
                 .values(A, 1)
                 .values(B, 2)
                 .getSQL();

String sql3 = DSL.using(SQLDialect.MYSQL)  
                 .update(MY_TABLE)
                 .set(A, 1)
                 .set(B, 2)
                 .where(C.greaterThan(5))
                 .getSQL();

Вместо того, чтобы получать строку SQL, вы также можете просто выполнить ее, используя jOOQ. См

http://www.jooq.org

(Отказ от ответственности: я работаю в компании за jOOQ)

Lukas Eder 09 авг. 2011, в 07:31

0

не будет ли это во многих случаях плохим решением, так как вы не можете позволить dbms предварительно проанализировать оператор с различными значениями для «5», «8» и т. д.? Я думаю, что выполнение с Jooq решит это?
Vegard 16 сен. 2013, в 11:27
0

@Vegard: у вас есть полный контроль над тем, как jOOQ должен отображать значения связывания в своем выводе SQL: jooq.org/doc/3.1/manual/sql-building/bind-values . Другими словами, вы можете выбрать, следует ли отображать "?" или стоит ли встраивать значения привязки.
Lukas Eder 16 сен. 2013, в 14:04
0

да, но в отношении чистых способов сборки sql, это было бы немного грязным кодом в моих глазах, если вы не используете JOOQ для выполнения. в этом примере вы устанавливаете A на 1, B на 2 и т. д., но вы должны сделать это еще раз, когда выполняете, если вы не выполняете с JOOQ.
Vegard 16 сен. 2013, в 14:29
1

@Vegard: ничто не мешает вам передать переменную в jOOQ API и перестроить оператор SQL. Кроме того, вы можете извлечь значения связывания в их порядке, используя jooq.org/javadoc/latest/org/jooq/Query.html#getBindValues () , или именованные значения связывания по их именам, используя jooq.org/javadoc/latest/org/jooq. /Query.html#getParams () . Мой ответ содержит очень упрощенный пример ... Хотя я не уверен, что это отвечает вашим опасениям?
Lukas Eder 16 сен. 2013, в 14:40
0

у вас есть очень хорошее замечание, использование этих методов должно привести к более чистому коду, чем то, о чем я изначально думал. Что еще мне нравится в jOOQ, так это возможность писать SQL-файлы в некоторой степени безопасно.
Vegard 16 сен. 2013, в 14:46
2

Это дорогостоящее решение.
Sorter 13 янв. 2015, в 10:56
0

Не забудьте добавить заявление об отказе от ответственности, в котором говорится, что вы являетесь генеральным директором компании JOOQ. ;)
Stephan 08 май 2016, в 09:48
0

@ Стефан: Действительно, спасибо за подсказку. Я задним числом добавил этот отказ от ответственности в большинство ответов, но есть еще 1-2, которые еще не были изменены.
Lukas Eder 08 май 2016, в 17:10

Показать ещё 6 комментариев

13

Одной технологией, которую вы должны рассмотреть, является SQLJ - способ встраивания операторов SQL непосредственно в Java. В качестве простого примера вы можете иметь следующее в файле TestQueries.sqlj:

public class TestQueries
{
    public String getUsername(int id)
    {
        String username;
        #sql
        {
            select username into :username
            from users
            where pkey = :id
        };
        return username;
    }
}

Существует дополнительный шаг предварительной компиляции, который принимает ваши .sqlj файлы и переводит их в чистую Java. Короче говоря, он ищет специальные блоки, разделенные символом

#sql
{
    ...
}

и превращает их в вызовы JDBC. Существует несколько ключевых преимуществ использования SQLJ:

полностью абстрагирует слой JDBC - программистам нужно только подумать о Java и SQL
переводчик может быть сделан для проверки ваших запросов на синтаксис и т.д. в отношении базы данных во время компиляции.
возможность напрямую связывать переменные Java в запросах с использованием префикса ":"

Для большинства основных поставщиков баз данных существуют реализации переводчика, поэтому вы должны легко найти все, что вам нужно.

Ashley Mercer 16 дек. 2008, в 12:10

0

Это устарело сейчас, согласно википедии.
Zeus 05 окт. 2015, в 17:07
1

На момент написания статьи (январь 2016 г.) SQLJ упоминается в Википедии как «устаревший» без каких-либо ссылок. Был ли он официально заброшен? Если это так, я вставлю предупреждение в верхней части этого ответа.
Ashley Mercer 12 янв. 2016, в 15:43
0

Примечание: технология все еще поддерживается, например, в последней версии Oracle, 12c . Я признаю, что это не самый современный стандарт, но он все еще работает и имеет некоторые преимущества (такие как проверка запросов к БД во время компиляции), которые недоступны в других системах.
Ashley Mercer 12 янв. 2016, в 15:47

Показать ещё 1 комментарий

12

Мне интересно, если вы после чего-то вроде Squiggle. Также очень полезно jDBI. Это не поможет вам с запросами.

tcurdt 16 дек. 2008, в 11:49

9

Я бы посмотрел Spring JDBC. Я использую его всякий раз, когда мне нужно программно выполнять SQL. Пример:

int countOfActorsNamedJoe
    = jdbcTemplate.queryForInt("select count(0) from t_actors where first_name = ?", new Object[]{"Joe"});

Это действительно отлично подходит для любого исполнения sql, особенно для запросов; это поможет вам отображать объекты результатов в объекты, не добавляя сложность полного ORM.

Bent André Solheim 16 дек. 2008, в 10:38

0

Как я могу получить реально выполненный SQL-запрос? Я хочу войти.
kodmanyagha 02 дек. 2017, в 14:56

5

Я обычно использую Spring Именованные параметры JDBC, поэтому могу написать стандартную строку типа "select * from blah where colX = ': someValue'"; Я думаю, что это довольно читаемый.

Альтернативой будет предоставление строки в отдельном файле .sql и чтение содержимого с использованием утилиты.

О, также стоит взглянуть на Squill: https://squill.dev.java.net/docs/tutorial.html

GaryF 16 дек. 2008, в 09:58

0

Я предполагаю, что вы имеете в виду, что вы используете BeanPropertySqlParameterSource? Я почти согласен с вами, класс, который я только что упомянул, хорош при использовании строго bean-компонентов, но в противном случае я бы рекомендовал использовать собственный ParameterizedRowMapper для конструирования объектов.
Esko 16 дек. 2008, в 11:06
0

Не совсем. Вы можете использовать любой SqlParameterSource с именованными параметрами JDBC. Это удовлетворяло мои потребности использовать MapSqlParameterSource, а не разновидность бина. В любом случае, это хорошее решение. RowMappers, однако, имеют дело с другой стороной головоломки SQL: превращение наборов результатов в объекты.
GaryF 23 янв. 2009, в 16:22

4

Во-вторых, рекомендации по использованию ORM, например Hibernate. Однако есть ситуации, когда это не работает, поэтому я воспользуюсь этой возможностью, чтобы обсудить некоторые вещи, которые я помог написать: SqlBuilder - это java-библиотека для динамического создания sql-операторов с использованием стиля "строитель". он довольно мощный и довольно гибкий.

james 16 дек. 2008, в 16:08

4

Почему вы хотите сгенерировать все sql вручную? Вы рассматривали ORM как Hibernate. В зависимости от вашего проекта он, вероятно, сделает не менее 95% того, что вам нужно, сделайте это более чистым способом, чем исходный SQL, и если вам нужно получить последний бит производительности, вы можете создать SQL-запросы, которые необходимо настроить вручную.

Jared 16 дек. 2008, в 11:54

3

Вы также можете посмотреть MyBatis (www.mybatis.org). Это помогает вам писать инструкции SQL за пределами вашего java-кода и отображать результаты sql в ваши java-объекты, между прочим.

joshua 27 март 2012, в 09:01

2

посмотрите на jooq ( jooq.org ) тоже
joshua 28 март 2013, в 20:29

2

Чтение XML файла.

Вы можете прочитать его из файла XML. Его легко поддерживать и работать. Есть стандартные анализаторы STaX, DOM, SAX, доступные там, чтобы сделать несколько строк кода в java.

Сделайте больше с атрибутами

У вас может быть семантическая информация с атрибутами тега, чтобы помочь сделать больше с SQL. Это может быть имя метода или тип запроса или все, что помогает вам меньше кода.

Maintaince

Вы можете поместить xml за пределы банки и легко сохранить его. Такие же преимущества, как и файл свойств.

Конверсия

XML расширяемый и легко конвертируемый в другие форматы.

Пример использования

Metamug использует xml для настройки файлов ресурсов REST с помощью sql.

Sorter 27 апр. 2017, в 07:54

2

Я работал над приложением Java-сервлета, которое должно создавать очень динамические операторы SQL для специальных отчетов. Основная функция приложения заключается в том, чтобы подавать кучу названных параметров HTTP-запроса в предварительно кодированный запрос и генерировать красиво отформатированную таблицу вывода. Я использовал Spring MVC и инфраструктуру инъекции зависимостей для хранения всех моих SQL-запросов в файлах XML и загрузки их в приложение для отчетов вместе с информацией о форматировании таблицы. В конце концов, требования к отчетности стали более сложными, чем возможности существующих схем сопоставления параметров, и мне пришлось написать свои собственные. Это было интересное упражнение в разработке и создало рамки для сопоставления параметров гораздо более надежными, чем все, что я мог найти.

Новые сопоставления параметров выглядели как таковые:

select app.name as "App", 
       ${optional(" app.owner as "Owner", "):showOwner}
       sv.name as "Server", sum(act.trans_ct) as "Trans"
  from activity_records act, servers sv, applications app
 where act.server_id = sv.id
   and act.app_id = app.id
   and sv.id = ${integer(0,50):serverId}
   and app.id in ${integerList(50):appId}
 group by app.name, ${optional(" app.owner, "):showOwner} sv.name
 order by app.name, sv.name

Красота результирующей структуры заключалась в том, что она могла обрабатывать параметры HTTP-запроса непосредственно в запросе с надлежащей проверкой типов и проверкой ограничений. Никаких дополнительных сопоставлений, необходимых для проверки ввода. В вышеприведенном примере параметр с именем serverId будет проверен, чтобы убедиться, что он может быть отлит до целого числа и находится в диапазоне 0-50. Параметр appId будет обрабатываться как массив целых чисел с пределом длины 50. Если поле showOwner присутствует и установлено в "true", биты SQL в кавычках будут добавлены в сгенерированный запрос для необязательного поля отображения. поле. Доступны еще несколько сопоставлений типов параметров, включая необязательные сегменты SQL с дальнейшими сопоставлениями параметров. Он позволяет использовать как комплексное сопоставление запросов, как может предложить разработчик. Он даже имеет элементы управления в конфигурации отчета, чтобы определить, будет ли данный запрос иметь окончательные сопоставления через PreparedStatement или просто запускается как предварительно построенный запрос.

Для образца значений запроса Http:

showOwner: true
serverId: 20
appId: 1,2,3,5,7,11,13

Он создаст следующий SQL:

select app.name as "App", 
       app.owner as "Owner", 
       sv.name as "Server", sum(act.trans_ct) as "Trans"
  from activity_records act, servers sv, applications app
 where act.server_id = sv.id
   and act.app_id = app.id
   and sv.id = 20
   and app.id in (1,2,3,5,7,11,13)
 group by app.name,  app.owner,  sv.name
 order by app.name, sv.name

Я действительно думаю, что Spring или Hibernate или одна из этих фреймворков должна предложить более надежный механизм сопоставления, который проверяет типы, позволяет создавать сложные типы данных, такие как массивы и другие подобные функции. Я написал свой движок только для моих целей, он не совсем читается для общего выпуска. Он работает только с запросами Oracle в настоящий момент, и весь код принадлежит крупной корпорации. Когда-нибудь я смогу принять мои идеи и создать новую инфраструктуру с открытым исходным кодом, но я надеюсь, что один из существующих крупных игроков возьмет на себя эту задачу.

Natalia 02 фев. 2009, в 06:18

1

Google предоставляет библиотеку, называемую Room Persitence Library, которая обеспечивает очень чистый способ написания sql. Ниже приведен короткий фрагмент кода с официального сайта:

@Dao
public interface UserDao {
    @Query("SELECT * FROM user")
    List<User> getAll();

    @Query("SELECT * FROM user WHERE uid IN (:userIds)")
    List<User> loadAllByIds(int[] userIds);

    @Query("SELECT * FROM user WHERE first_name LIKE :first AND "
           + "last_name LIKE :last LIMIT 1")
    User findByName(String first, String last);

    @Insert
    void insertAll(User... users);

    @Delete
    void delete(User user);
}

В официальных документах библиотеки есть больше примеров и более подробная документация.

Существует также один под названием MentaBean, который является Java ORM. Он имеет приятные функции и, кажется, довольно простой способ записи SQL.

CasualCoder3 08 окт. 2017, в 05:24

1

Если вы поместите строки SQL в файл свойств и затем прочитаете это, вы можете сохранить строки SQL в текстовом файле.

Это не решает проблемы типа SQL, но, по крайней мере, значительно облегчает копирование и вставку из TOAD или sqlplus.

Rowan 16 дек. 2008, в 11:27

0

Как вы получаете конкатенацию строк, за исключением длинных строк SQL в PreparedStatements (которые вы можете легко предоставить в текстовом файле и загружать как ресурс в любом случае), что вы разбиваете несколько строк?

Вы не создаете строки SQL напрямую? Это самый большой нет-нет в программировании. Пожалуйста, используйте PreparedStatements и поставьте данные как параметры. Это значительно сокращает вероятность внедрения SQL Injection.

JeeBee 16 дек. 2008, в 12:49

0

Но если вы не публикуете веб-страницу для публики - является ли SQL-инъекция актуальной проблемой?
Vidar 16 дек. 2008, в 14:00
3

SQL-инъекция всегда актуальна, потому что это может произойти как случайно, так и по намерению.
sleske 31 март 2009, в 08:16
1

@Vidar - вы можете не показывать веб-страницу широкой публике сейчас , но даже код, который будет «всегда» внутренним, часто заканчивает тем, что получает какую-то внешнюю экспозицию в какой-то момент ниже. И это быстрее и безопаснее сделать это правильно с первого раза, чем проверять всю кодовую базу на наличие проблем позже ...
Andrzej Doyle 26 авг. 2009, в 09:16
3

Даже PreparedStatement нужно создать из строки, нет?
Stewart 24 апр. 2012, в 08:25
0

Да, но безопасно создавать PreparedStatement из String, если вы строите безопасный PreparedStatement. Вам, вероятно, следует написать класс PreparedStatementBuilder, чтобы сгенерировать их, чтобы скрыть беспорядок связывания вещей.
JeeBee 15 окт. 2013, в 09:15

Показать ещё 3 комментария

Ещё вопросы

не будет ли это во многих случаях плохим решением, так как вы не можете позволить dbms предварительно проанализировать оператор с различными значениями для «5», «8» и т. д.? Я думаю, что выполнение с Jooq решит это?
@Vegard: у вас есть полный контроль над тем, как jOOQ должен отображать значения связывания в своем выводе SQL: jooq.org/doc/3.1/manual/sql-building/bind-values . Другими словами, вы можете выбрать, следует ли отображать "?" или стоит ли встраивать значения привязки.
да, но в отношении чистых способов сборки sql, это было бы немного грязным кодом в моих глазах, если вы не используете JOOQ для выполнения. в этом примере вы устанавливаете A на 1, B на 2 и т. д., но вы должны сделать это еще раз, когда выполняете, если вы не выполняете с JOOQ.
@Vegard: ничто не мешает вам передать переменную в jOOQ API и перестроить оператор SQL. Кроме того, вы можете извлечь значения связывания в их порядке, используя jooq.org/javadoc/latest/org/jooq/Query.html#getBindValues () , или именованные значения связывания по их именам, используя jooq.org/javadoc/latest/org/jooq. /Query.html#getParams () . Мой ответ содержит очень упрощенный пример ... Хотя я не уверен, что это отвечает вашим опасениям?
у вас есть очень хорошее замечание, использование этих методов должно привести к более чистому коду, чем то, о чем я изначально думал. Что еще мне нравится в jOOQ, так это возможность писать SQL-файлы в некоторой степени безопасно.
Не забудьте добавить заявление об отказе от ответственности, в котором говорится, что вы являетесь генеральным директором компании JOOQ. ;)
@ Стефан: Действительно, спасибо за подсказку. Я задним числом добавил этот отказ от ответственности в большинство ответов, но есть еще 1-2, которые еще не были изменены.
Это устарело сейчас, согласно википедии.
На момент написания статьи (январь 2016 г.) SQLJ упоминается в Википедии как «устаревший» без каких-либо ссылок. Был ли он официально заброшен? Если это так, я вставлю предупреждение в верхней части этого ответа.
Примечание: технология все еще поддерживается, например, в последней версии Oracle, 12c . Я признаю, что это не самый современный стандарт, но он все еще работает и имеет некоторые преимущества (такие как проверка запросов к БД во время компиляции), которые недоступны в других системах.
Как я могу получить реально выполненный SQL-запрос? Я хочу войти.
Я предполагаю, что вы имеете в виду, что вы используете BeanPropertySqlParameterSource? Я почти согласен с вами, класс, который я только что упомянул, хорош при использовании строго bean-компонентов, но в противном случае я бы рекомендовал использовать собственный ParameterizedRowMapper для конструирования объектов.
Не совсем. Вы можете использовать любой SqlParameterSource с именованными параметрами JDBC. Это удовлетворяло мои потребности использовать MapSqlParameterSource, а не разновидность бина. В любом случае, это хорошее решение. RowMappers, однако, имеют дело с другой стороной головоломки SQL: превращение наборов результатов в объекты.
Но если вы не публикуете веб-страницу для публики - является ли SQL-инъекция актуальной проблемой?
SQL-инъекция всегда актуальна, потому что это может произойти как случайно, так и по намерению.
@Vidar - вы можете не показывать веб-страницу широкой публике сейчас , но даже код, который будет «всегда» внутренним, часто заканчивает тем, что получает какую-то внешнюю экспозицию в какой-то момент ниже. И это быстрее и безопаснее сделать это правильно с первого раза, чем проверять всю кодовую базу на наличие проблем позже ...
Даже PreparedStatement нужно создать из строки, нет?
Да, но безопасно создавать PreparedStatement из String, если вы строите безопасный PreparedStatement. Вам, вероятно, следует написать класс PreparedStatementBuilder, чтобы сгенерировать их, чтобы скрыть беспорядок связывания вещей.

Piotr Kochański · Accepted Answer · 2008-12-16T11-27-00.000Z

Прежде всего рассмотрим использование параметров запроса в подготовленных операторах:

PreparedStatement stm = c.prepareStatement("UPDATE user_table SET name=? WHERE id=?");
stm.setString(1, "the name");
stm.setInt(2, 345);
stm.executeUpdate();

Другое, что можно сделать, это сохранить все запросы в файле свойств. Например в файле queries.properties может быть указан следующий запрос:

update_query=UPDATE user_table SET name=? WHERE id=?

Затем с помощью простого класса утилиты:

public class Queries {

    private static final String propFileName = "queries.properties";
    private static Properties props;

    public static Properties getQueries() throws SQLException {
        InputStream is = 
            Queries.class.getResourceAsStream("/" + propFileName);
        if (is == null){
            throw new SQLException("Unable to load property file: " + propFileName);
        }
        //singleton
        if(props == null){
            props = new Properties();
            try {
                props.load(is);
            } catch (IOException e) {
                throw new SQLException("Unable to load property file: " + propFileName + "\n" + e.getMessage());
            }           
        }
        return props;
    }

    public static String getQuery(String query) throws SQLException{
        return getQueries().getProperty(query);
    }

}

вы можете использовать свои запросы следующим образом:

PreparedStatement stm = c.prepareStatement(Queries.getQuery("update_query"));

Это довольно простое решение, но хорошо работает.

Я предпочитаю использовать чистый построитель SQL, как этот: mentabean.soliveirajr.com
Могу ли я предложить вам поместить InputStream в оператор if (props == null) чтобы не создавать его, когда он не нужен.