批量in查询中可能会导致的sql注入问题

有时间我们在使用in或者or进行查询时，为了加快速度，可能会经常这样来使用sql之间的拼接，然后直接导入到一个in中，这种查询实际上性能上还是可以的，

例如如下：

update keyword set stats=? where taskid in ('"+CollUtil.toString(list, "','")+"') "

实际上面对这些问题，我们最好不要通过自己排除的方式来，因为很可能出现我们意想不到的情况出现，所以我们在进行无论查询或者更改插入之类的操作时，最好使用问号表达式，这样能够防注入。

但是如果有些特殊情况下，我们的系统使我们内部使用，我们也可以是适当的使用in或者or查询，但是我们在in（）这个括号里面要注意数量问题，这个问题因不同的版本in中包含的量估计都是不一样的。我们最好可以通过一些算法来控制这个量，最好是自己做一下压力测试，看看到底你的in中能够包含多大的数据量，当然我曾经做过压力测试，in里面可以包含16W多，当时我是包含了64个字长的英语字母和汉字，在进行操作时，可能会因为字段的长度不同，速度肯定都会不同。

 int size = ids.size();  
        int loopNum = (size%1000==0)?(size/1000):(size/1000 + 1);  
        if(size==0){  
            return;  
        }  
        for(int cp=1;cp<=loopNum;cp++){  
            int beginRecord = (cp - 1) * 1000;  
            int endRecord = cp*1000;  
            if(endRecord >= size){  
                endRecord = size;  
            }  
            // 分批进行任务获取  
            List<String> list = ids.subList(beginRecord, endRecord);  

当然我这只是一个分组算法的实例，我们平常在使用这种性能不是太好的查询是也要注意分组进行，如果不这样，MySQL可能会报一些packet过大的异常或者请检查你的版本异常，如果你发现你的sql语句没有问题，这时你就该应该注意到这个问题了。

还有一点，我们在一个函数中进行写sql语句时，如果一条sql能够搞定，我们也尽量不要使用第二条，因为数据库的打开与关闭是非常耗时的操作，所以我们在使用编程语言进行写程序时，要尽量使用我们工具类中给我们提供的一些类，例如：

  StringBuffer buffer = new StringBuffer();  
            buffer.append("update keyword set stats=? ");  
            paramsList.add(stats);  
            if(stats==Stats.pend.getCode()){  
                buffer.append(",pend=? ");  
                paramsList.add(new Date());  
            }  
            buffer.append("  where taskid in ('"+CollectionUtil.toString(list, "','")+"') ");