怎么利用 JDK 21 的 String Templates（预览阶段）重构复杂的 SQL 拼装与 HTML 模板输出

珍惜时间，勤奋学习！今天给大家带来《怎么利用 JDK 21 的 String Templates（预览阶段）重构复杂的 SQL 拼装与 HTML 模板输出》，正文内容主要涉及到等等，如果你正在学习文章，或者是对文章有疑问，欢迎大家关注我！后面我会持续更新相关内容的，希望都能帮到正在学习的大家！

STR模板处理器不适合拼装SQL，因其不防SQL注入、无参数绑定与类型检查、属不稳定的预览特性；仅限完全可控的静态内容组装，生产环境应使用PreparedStatement或ORM。

JDK 21 的 String Templates（通过 STR 处理器）**不能直接用于生产环境的 SQL 拼装或 HTML 输出**——它目前仍是预览特性，且缺乏注入防护、转义机制和运行时校验能力。强行用它替代参数化查询或模板引擎，会引入严重安全风险。

为什么 STR 模板不适合拼装 SQL

SQL 拼接最核心的约束是：必须防止 SQL 注入。而 STR 模板对表达式值不做任何处理，原样插入：

• 若 username = "admin' -- "，STR."SELECT * FROM users WHERE name = '\{username}'" 会生成可执行的恶意语句
• STR 不提供类似 PreparedStatement 的占位符绑定、类型检查或驱动层预编译能力
• 预览 API 可能在 JDK 22+ 被修改甚至移除，SQL 层逻辑一旦耦合，后续升级成本极高

哪些场景下可以谨慎尝试 STR + 文本块

仅限**完全可控、无用户输入、非执行用途**的静态内容组装，比如生成调试日志、内部配置片段或测试用例中的预期 SQL 字符串：

• 多行 SQL 片段拼接（仅用于单元测试断言）：

  String expected = STR."""
      SELECT id, name
      FROM users
      WHERE status = \{Status.ACTIVE}
        AND created_at > '\{Instant.now().minusDays(7)}'
      """;

• HTML 静态骨架（如邮件模板初稿、文档示例）：

  String html = STR."""
      <div class="card"><h3>\{title}</h3><p>Generated at \{LocalDateTime.now()}</p></div>
      """;

• 关键前提：所有内嵌表达式都来自枚举、常量、硬编码或已清洗过的可信上下文

真正该用什么替代传统字符串拼接

不是用 STR，而是升级工具链本身：

• SQL 场景 → 统一走 PreparedStatement 或 ORM（如 MyBatis 的