使用 Groovy 使用变量作为值插入 SQL

Question

我正在尝试将变量用于插入 SQL 语句的值部分。奇怪的是，如果我复制我在调试器中看到的值，那么语句就会运行并正确插入。如果我使用该变量，那么它会给我一个 “抱歉，值的数量错误” 错误。

这是我的插入

db.execute("""
        INSERT INTO TABLE 
        (UNIT, ORD#, DISP, DATE, TIME, AMT, LAT, LONG, DRVR, OWNR, SETT, STAT) 
        values ${parsedOrderNumbers}
        """)

parsedOrderNumbers 看起来像在调试器中，但它也可能有 " " 围绕它，因为它是一个字符串。我不确定并认为这可能是这里发生的错误，或者可能是 Groovy 如何插值${parsedOrderNumbers}

('12345', '1234567', '' ,'2020-04-11', '234', '35.00', '39.693702697753906', '-75.53226470947266', '', '', '', ''), ('20514', '9876543', '' ,'2020-04-12', '004', '24.00', '39.27902603149414', '-76.55120086669922', '', '', '', '') 

如果我复制它并替换${parsedOrderNumbers}，那么语句就会运行。有什么想法吗？

Answer 1

为JDBC参数化sql的正确方法是：

db.executeInsert("INSERT INTO TABLE MyTable VALUES (?, ?, ?)", ['some', 123, myVar])

文档：https://docs.groovy-lang.org/latest/html/documentation/sql-userguide.html#_creating_inserting_data

Answer 2

当您将${} 语法与 GString 版本的 execute() (Sql.execute(GString gstring)) 一起使用时， groovy-sql 会将每个 ${} 视为绑定变量。 您收到错误抱歉，值的数量错误，因为 groovy-sql 当您尝试插入 12 个值时，只看到一个绑定变量。

您所做的实际上不是最佳实践，既形成了安全性（SQL 注入） 和性能（数据库查询缓存）的角度。

如果您真的想预先生成 VALUES 子句，请使用字符串版本 Sql.execute(String query) 这样的。

db.execute("""
        INSERT INTO TABLE 
        (UNIT, ORD#, DISP, DATE, TIME, AMT, LAT, LONG, DRVR, OWNR, SETT, STAT) 
        values ${parsedOrderNumbers}
        """.toString())

但是，我建议按照@ou_ryperd 的建议或类似的方式进行操作。

db.execute("""
        INSERT INTO TABLE 
        (UNIT, ORD#, DISP, DATE, TIME, AMT, LAT, LONG, DRVR, OWNR, SETT, STAT) 
        values ($unit, $orderNo, $disp, $date, $time, $amt, $lat, $long, $drvr, $ownr, $sett, $stat)
        """)