大家帮看看这种 Java 写 sql 的代码可取吗

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 2020 days ago, the information mentioned may be changed or developed.

@Override public DataListPage getDataListPageByFirstClass(DataListParams dataListParams, String firstClass, String branchStoreId) {

    String mainStoreId = BusinessUtils.getMainStoreId(branchStoreId);

    String listHql = CONSTRUCTOR
            + " FROM TCmsLesson cl, TCmsLessonStoreRel r"
            + " WHERE cl.firstClass = :firstClass"
            + " AND cl.isValid = 1"
            + " AND cl.id = r.lessonId"
            + " AND r.storeId in (:mainStoreId , :branchStoreId , '0000000')";

    String countHql = "SELECT COUNT(cl.id) FROM"
            + " TCmsLesson cl, TCmsLessonStoreRel r"
            + " WHERE cl.firstClass = :firstClass"
            + " AND cl.isValid = 1"
            + " AND cl.id = r.lessonId"
            + " AND r.storeId in (:mainStoreId , :branchStoreId , '0000000')";

    dataListParams.setDateParam("cl.createDate");

    return super.getDataListPageByHql(listHql, countHql, dataListParams, firstClass, mainStoreId, branchStoreId);
}

private List<T> listDataByHql(String hql, DataListParams dataListParams, Object... values) {
	if (StringUtils.isNotEmpty(dataListParams.getBeginTime())
			&& StringUtils.isNotEmpty(dataListParams.getEndTime())) {
		hql = hql + " AND " + dataListParams.getDateParam() + " BETWEEN '" + dataListParams.getBeginTime()
				+ "' AND '" + dataListParams.getEndTime() + "'";
	} else if (StringUtils.isNotEmpty(dataListParams.getBeginTime())) {
		hql = hql + " AND " + dataListParams.getDateParam() + " >= '" + dataListParams.getBeginTime() + "'";
	} else if (StringUtils.isNotEmpty(dataListParams.getEndTime())) {
		hql = hql + " AND " + dataListParams.getDateParam() + " <= '" + dataListParams.getEndTime() + "'";
	}

	if (StringUtils.isNotEmpty(dataListParams.getOrderBy())) {
		hql = hql + " ORDER BY " + dataListParams.getOrderBy();
	}

	if (dataListParams.isDesc()) {
		hql = hql + " DESC";
	}

	if (dataListParams.getPage() != null) {
		return this.listByPage(hql, dataListParams.getPage(), values);
	} else {
		return dataListParams.getSize() == 0
				? this.listByParamsAndPosition(hql, dataListParams.getStartPosition(), values)
				: this.listBySizeAndPosition(hql, dataListParams.getSize(), dataListParams.getStartPosition(),
						values);
	}
}

35 replies • 2020-11-19 17:13:18 +08:00

Kirsk

Oct 27, 2020 via Android

罗里八嗦直接删掉类型控制应该在逻辑层 dao 只负责执行

chendy

Oct 27, 2020

很有毅力
试试 Criteria ？

geligaoli

Oct 27, 2020

用字符串拼 sql 的，直接开

rodrick

Oct 27, 2020

虽然很久不搞 java 你要小项目简单 sql 这么搞搞就算了，正规项目这么搞不说别的，写起来不累么，看的都累

EscYezi

Oct 27, 2020 via iPhone

以后维护起来很蛋疼

wilsonWei

Oct 27, 2020

字符串拼接有注入风险吧，看起来也不清晰

THESDZ

Oct 27, 2020

如果一段代码让人看下去的欲望都没有,还是算了吧....

THESDZ

Oct 27, 2020

@THESDZ #7 特别复杂的业务除外(防杠)

Resource

Oct 27, 2020

不可取

zouzou0208

Oct 27, 2020

这样拼接并且不做保护的话很容易注入的。在 para 里加个 or 1=1 后面就可以加东西了。

madworks

Oct 27, 2020

@THESDZ 框架层面呢，我公司用的一个中台系统 orm 框架里就是 sql 拼接的，数据层次非常多

zouzou0208

Oct 27, 2020

@madworks 那样一般都有正则或者其他的保护的。

THESDZ

Oct 27, 2020

@madworks 框架层面的一般是基于反射或者代理等,每一个方法进行封装,查看主体逻辑的时候,配合注释(方法上的 javadoc)看起来并不会难受,而上面的代码,从列名到表名都是手敲的....

supuwoerc

Oct 27, 2020

作为前端路过，刚学完预编译 sql，这样拼接字符串是不是会出现 sql 注入的问题，而且看着好累啊 =。=||

madworks

Oct 27, 2020

@THESDZ 这种代码感觉 3,4 年前 hibernate 这样写的很普遍

THESDZ

Oct 27, 2020

@madworks 是指题目中的代码?hibernate 了解不多,但是据我了解它的目的是让程序员不写 sql,hibernate 应该不会这么写,最起码业务内容和转 sql 是分开考虑的,不会根据逻辑拼接 sql

fallinlovewith

Oct 27, 2020

见过用 String sql = " "+ " "+ "....";
也见过 StringBuilder sb = new StringBuilder();
sb.append("")
.append("")
......

fengpan567

Oct 27, 2020

这么拼接不怕 sql 注入？

buruliu

Oct 27, 2020

hql 。

doudou1523102

Oct 27, 2020

看的头痛

nxforce

Oct 27, 2020

内部小项目这样子搞没太大问题，商业项目这样子，早晚推倒重做。

lonelymarried

Oct 27, 2020

我刚学 java，如果复杂的查询不这样写，那么怎么写呢。学习一下。

la2la

Oct 27, 2020

我们公司的项目部分接口就是这么搞得，看的脑壳疼。但是领导都没说什么，我还能做啥呢

somefree

Oct 27, 2020

这一看都是上古时期的代码了, 跟我以前的公司代码有的一拼

fatpower

Oct 27, 2020

这个不是 sql，是 hql 。
上古时期的代码都这样

weizhen199

Oct 27, 2020

你们仔细看看，我咋觉得这 sql 参数化了？？

madworks

Oct 27, 2020

@weizhen199 什么叫 sql 参数化

a719031256

Oct 27, 2020

人才。。

dyeed

Oct 27, 2020

@fatpower 需要维护丝丝诶吃（ SSH ）的我 o(╥﹏╥)o 了。。。。。。。。。

aguesuka

Oct 27, 2020 via Android

好不好不评价，给几个建议。String hql=前一句加上 // language=HQL (sql jpaql 同理)。参数使用冒号加参数名的格式，然后用 setparammap 或者 setpropsobject 设置参数的值。参数和返回值加上泛型。
java 的 orm 包括不限于 jpa mybatis springtemplate 都不咋地，在面相对象而且自省能力这么弱的语言里发明一种代替 sql 的 dsl 是不可能的。
我能想到的最好办法是整合项目设计的时候不考虑 sql，专门招聘一个实习生来写 dao 层。

meepo3927

Oct 27, 2020

嗯…… 这个换行风格，看着好难受

akira

Oct 27, 2020

不可取。现在应该都放弃这种写法了吧。可维护性不是很好

jin7

Oct 28, 2020

看着麻烦

Joker123456789

Nov 12, 2020

首先，你如果问的是把 sql 写在类里面这种方式可不可取，那我个人认为把 sql 写类里面，和写 xml 里没啥区别，现在都是 boot 打 jar 包，即使写在 xml 里也是无法在线上更改的。

无论写哪，只要牵扯到改，都要程序员改完提测然后重新打包发布，所以写类和写 xml 已经没有本质区别了。

所以，这种写法我个人认为完全没问题，不过肯定会有一些盲目遵守规范的人会说不行，这个就不做争论了。。

其次，如果你问的这你贴出来的这段代码有没有问题，那么其他人已经都告诉你了，你需要让代码分布的更合理一点，然后参数不要拼接，要用占位符。

ly61

Nov 19, 2020

自己写爽不爽我不知道，但是后面维护的人肯定很爽