Динамический порядок в объектных запросах JDBI SQL

Question

Динамический порядок в объектных запросах JDBI SQL

Как вы делаете заказ с объектными запросами SQL в JDBI?

Я хочу сделать что-то вроде:

@SqlQuery(
    "SELECT * FROM users " +
    "WHERE something = :something " +
    "ORDER BY :orderBy :orderDir"
)
List<User> getUsers(
    @Bind("something") Integer something
  , @BindOrderBy("orderBy") String orderBy
  , @BindOrderDir("orderDir") String orderDir
);

или же

@SqlQuery(
    "SELECT * FROM users " +
    "WHERE something = :something " +
    "ORDER BY :orderBy :orderDir"
)
List<User> getUsers(
    @Bind("something") Integer something
  , @Bind("orderBy") OrderBy orderBy
  , @Bind("orderDir") OrderDir orderDir
);

13

java sql-order-by jdbi sqlobject

Источник

user1186907 28 май '13 в 11:09

3 ответа

Решение

Я думаю, это потому, что предполагается, что библиотека String Template предоставлена, и это предположение не выполняется во время выполнения. Добавление следующего к POM приложения должно решить проблему:

<dependency>
  <groupId>org.antlr</groupId>
  <artifactId>stringtemplate</artifactId>
  <version>3.2.1</version>
</dependency>

Посмотрев на JDBI 2 pom, вы увидите следующее:

<dependency>
  <groupId>org.antlr</groupId>
  <artifactId>stringtemplate</artifactId>
  <version>3.2.1</version>
  <optional>true</optional>
</dependency>

Значение JDBI не будет жаловаться на отсутствие строкового шаблона lib.

2

Источник

user5939750 24 окт '16 в 12:57

Ну получается, что вы добавляете ORDER BY к вашему запросу, как это так

@SqlQuery("SELECT * FROM incident_events WHERE incident_id=:incidentId ORDER BY event_time DESC LIMIT :limit OFFSET :offset")
List<IncidentEvent> getPaginated(@Bind("incidentId") int incidentId, @Bind("limit") int limit, @Bind("offset") int offset);

-1

Источник

user1517299 04 мар '15 в 08:49

Другие вопросы по тегам java sql-order-by jdbi sqlobject

user355875 05 окт '13 в 17:55 2013-10-05 17:55 · Accepted Answer · 2013-10-05 17:55

Недавно я изучал DropWizard, который поставляется в комплекте с JDBI и быстро столкнулся с той же проблемой. К сожалению, в JDBI отсутствует скучная документация (JavaDoc и некоторые примеры модульных тестов в его git-репозитории не разбираются в одиночку), что разочаровывает.

Вот что я обнаружил, что достигается динамический порядок в API объектов Sql для JDBI на основе моего образца DAO:

@UseStringTemplate3StatementLocator
public interface ProductsDao {

    @RegisterMapperFactory(BeanMapperFactory.class) // will map the result of the query to a list of Product POJOs(Beans)
    @SqlQuery("select * from products order by <orderby> <order> limit :limit offset :offset")
    List<Product> getProducts(@Define("orderby") String orderBy, @Define("order") String order,
                                     @Bind("limit") int limit, @Bind("offset") int offset);

    @SqlQuery("select count(*) from products")
    int getProductsCount();

}

@ UseStringTemplate3StatementLocator - эта аннотация позволяет нам использовать <arg> синтаксис в запросах. Эти аргументы будут заменены любым значением, которое мы предоставляем через @Define аннотаций.

Чтобы иметь возможность использовать эту функцию, мне пришлось дополнительно добавить эту зависимость в мой pom.xml файл:

<dependency>
  <groupId>antlr</groupId>
  <artifactId>stringtemplate</artifactId>
  <version>2.3b6</version> <!-- I am not sure if this specific version is meant to be used though -->
</dependency>

ВНИМАНИЕ SQL-ВНИМАНИЯ Следует отметить, что это открывает нам Sql Injection так как значения непосредственно вставляются в запрос. (В отличие от :arg синтаксис в запросе и @Bind аннотация, которая использует подготовленные заявления и защищает от SQL инъекций). По крайней мере, вы должны санировать параметры, которые будут использоваться для @Define поля. (Простой пример для DropWizard ниже).

@Path("/products")
@Produces(MediaType.APPLICATION_JSON)
public class ProductsResource {
  private static ImmutableSet<String> orderByChoices = ImmutableSet.of("id", "name", "price", "manufactureDate");

  private final ProductsDao dao;

  public ProductsResource(ProductsDao dao) {
    this.dao = dao;
  }

  @GET
  // Use @InjectParam to bind many query parameters to a POJO(Bean) instead. 
  // https://jersey.java.net/apidocs/1.17/jersey/com/sun/jersey/api/core/InjectParam.html
  // i.e. public List<Product> index(@InjectParam ProductsRequest request)
  // Also use custom Java types for consuming request parameters. This allows to move such validation/sanitization logic outside the 'index' method.
  // https://jersey.java.net/documentation/1.17/jax-rs.html#d4e260 
  public List<Product> index(@DefaultValue("id")  @QueryParam("orderby") String orderBy,
                             @DefaultValue("asc") @QueryParam("order")   String order,
                             @DefaultValue("20")  @QueryParam("perpage") IntParam perpage,
                             @DefaultValue("0")   @QueryParam("page")    IntParam page)

   int limit, offset;

   order = order.toLowerCase(); 
   orderBy = orderBy.toLowerCase();    

   if (!orderByChoices.contains(orderBy)) orderBy = "id"; //sanitize <orderby>
   if (order != "asc" && order != "desc") order = "asc";  //sanitize <order>

   limit = perpage.get();
   offset = page.get() < 0 ? 0 : page.get() * limit;

   return dao.getProducts(orderBy, order, limit, offset);

  }
}