可以看到,两行代码完成了上面需要19行代码实现的功能。所有冗余的代码都通过合理
的抽象汇集到了JdbcTemplate中。
无需感叹,借助Template模式,我们大致也能实现这样一个模板,不过,Spring的设计
者已经提前完成了这一步骤。org.springframework.jdbc.core.JdbcTemplate中包含了
这个模板实现的代码,经过Spring设计小组精心设计,这个实现可以算的上是模板应用的
典范。特别是回调(CallBack)的使用,使得整个模板结构清晰高效。值得一读。
Tips:实际开发中,可以将代码中硬编码的SQL语句作为Bean的一个String类型属性,借
助DI机制在配置文件中定义,从而实现SQL的参数化配置。
再对上面的例子进行一些改进,通过PrepareStatement执行update操作以避免SQL
Injection 漏洞 9:
JdbcTemplate jdbcTemplate = new JdbcTemplate(dataSource);
jdbcTemplate
.update(
"UPDATE user SET age = ? WHERE id = ?",
new PreparedStatementSetter() {
public void setValues(PreparedStatementSetter ps)
throws SQLException {
ps.setInt(1, 18);
ps.setString(2, "erica");
}
}
);
可以看到,上面引用了update方法的另一个版本,传入的参数有两个,第一个用于创建
PreparedStatement的SQL。第二个参数是为PreparedStatement设定参数的
PreparedStatementSetter。
第二个参数的使用方法比较独到,我们动态新建了一个PreparedStatementSetter类,
并实现了这个抽象类的setValues方法。之后将这个类的引用作为参数传递给update。
update接受参数之后,即可调用第二个参数提供的方法完成PreparedStatement的初始
化。
添加好友 
.gif){kind=small}
发送消息 
提示
.gif){kind=small}
.gif){kind=small}
