如何在 Java 中“优雅地”生成字符串？

Question

我想生成一个字符串比如sql命令：

   "INSERT INTO xxx VALUES(XXX, XXX, XXX)"

目前我使用StringBuilder 和一些String 常量，如“INSERT INTO”来连接表名和插入值的输入字符串参数。

但是，除了性能问题之外，这种简单的连接看起来并不优雅。 有没有其他方法可以做到这一点？

在我看来，JDBC 的预处理语句就是这种“命令模板”的一个很好的例子：

PreparedStatement pstmt=connection.createPreparedStatement("INSERT INTO ? VALUES(?,?,?)");

然后你可以设置表名和插入值。

pstmt.setString(1,"tableA");
pstmt.setInt(2, 100);
...

但是，我不能使用准备好的语句，因为我想要的只是字符串......

有人给了我一些使用java.util.Regex 或JavaCC 来生成字符串的提示。 但据我所见，无论为某些代码优雅问题选择什么，Java字符串都必须由StringBuilder之类的东西生成，对吧？？？

Answer 1

你可以使用String.format():

String.format("insert into %s values('%s', '%s', '%s')", "user", "user123", "pass123", "yellow");

值得注意的是，任何这些“字符串构建”技术都会使您容易受到 SQL 注入攻击。您应该尽可能使用 JDBC 参数化查询。

编辑为在字符串周围添加引号。

Answer 2

也许你正在寻找java.text.MessageFormat

 int planet = 7;
 String event = "a disturbance in the Force";

 String result = MessageFormat.format(
     "At {1,time} on {1,date}, there was {2} on planet {0,number,integer}.",
     planet, new Date(), event);

Answer 3

你试过只用'+'吗？

String sql = "INSERT INTO " + table
           +" VALUES(" + value1 + ", " + value2 + ", " = value3+")";

Answer 4

鉴于各种其他答案，但没有一个得到您的认可，也许您应该接受实际的字符串生成（无 JPA、PreparedStatement 等）将相当不雅，并使用静态 sql 生成器创建实用程序类.

edit 显示一个示例，说明如果无法选择诸如 PreparedStatement 之类的预先存在的类，我将如何处理此问题。它不是最优雅的，但它做了它应该做的（假设我输入正确）。

public class SQLUtil {
    public static String generateInsertSQL(String tableName, List<CustomParameter> parmList){
        StringBuilder sb = new Stringbuilder();
        sb.append("insert into ");
        sb.append(tableName);
        sb.append(" values (");
        for (int i = 0; i < parmList.size(); i++){
            customParameter parm = parmList.get(i);
            switch (parm.getType()) { // enum with your desired sql types
                case ParmTypes.String:
                    sb.append("'");
                    sb.append(StringEscapeUtils.escapeSql(String.valueOf(parm.getValue())));
                    sb.append("'");
                    break;
                case ParmTypes.Integer:
                    sb.append(Integer.valueOf(parm.getValue()));
                    break;
            }
            if (i < parmList.size() - 1) sb.append(",");
        }
        sb.append(")");
        return sb.toString();
    }
}

这样，您的业务代码将保持相对优雅，您可以随心所欲地使用 SQL 字符串生成。您还可以使用它来“保证”您的所有插入都受到保护，免受 SQL 注入等攻击。

Answer 5

使用 StringTemplate (http://www.stringtemplate.org/) 可能是一个不错的选择：

这看起来更好，对吧？

StringTemplate insert = new StringTemplate("INSERT $table$ VALUES ($value; separator=\",\"$)");
insert.setAttribute("table", "aTable");
String[] values = {"1", "1", "'aaa'", "'bbb'"};
for(int i = 0;i < values.length;i++){   
  insert.setAttribute("value", values[i]);  
}
System.out.println(insert.toString());