JDBC 处理sql查询多个不确定参数

JDBC程序，为了防止SQL注入，通常需要进行参数化查询，但是如果存在多个不确定参数，就比较麻烦了，查阅了一些资料，最后解决了这个问题，现在这里记录一下：

  public List<TabDlxx> searchTabDlxxs(TabDlxx tabDlxx){   List<TabDlxx> tdList = new ArrayList<TabDlxx>();   StringBuffer sql = new StringBuffer();   sql.append("select * from tab_dlxx where 1=1 ");   PreparedStatement ps = null;   ResultSet rs = null;   conn = MyDataSource.getConnection();   try {    if(null != tabDlxx){     List<Object> list = new ArrayList<Object>();     this.addStatement(tabDlxx, list, sql);     ps = conn.prepareStatement(sql.toString());     this.pstSetObject(ps, list);     rs = ps.executeQuery();     while(rs.next()){      TabDlxx t = new TabDlxx();      t.setDlxxId(rs.getInt("dlxxId"));      t.setName(rs.getString("name"));      t.setCertificateNum(rs.getString("certificateNum"));      t.setEmail(rs.getString("email"));      t.setMobilePhone(rs.getString("mobilePhone"));      t.setCountry(rs.getString("country"));      t.setMedia(rs.getString("media"));      t.setArriveTime(rs.getString("arriveTime"));      t.setArriveAirNo(rs.getString("arriveAirNo"));      t.setLeaveTime(rs.getString("leaveTime"));      t.setLeaveAirNo(rs.getString("leaveAirNo"));      t.setAuditStatus(rs.getInt("auditStatus"));      t.setCreateTime(rs.getTimestamp("createTime"));      t.setLastModifyTime(rs.getTimestamp("lastModifyTime"));      tdList.add(t);     }    }   } catch (SQLException e) {    e.printStackTrace();   } finally {    try {     rs.close();     ps.close();     conn.close();    } catch (SQLException e) {     e.printStackTrace();    }   }   return tdList;  } //判断查询条件是否为空，不为空时增加查询条件 private void addStatement(TabDlxx tabDlxx, List<Object> list, StringBuffer sql){   if(null != tabDlxx.getName() && !"".equals(tabDlxx.getName())){    sql.append("and name like ?");    list.add(tabDlxx.getName());   }   if(null != tabDlxx.getEmail() && !"".equals(tabDlxx.getEmail())){    sql.append("and email =?");    list.add(tabDlxx.getEmail());   }   if(null != tabDlxx.getStartTime() && !"".equals(tabDlxx.getStartTime())){    sql.append("and createTime>= ?");    list.add(tabDlxx.getStartTime());   }   if(null != tabDlxx.getEndTime() && !"".equals(tabDlxx.getEndTime())){    sql.append("and createTime<= ?");    list.add(tabDlxx.getEndTime());   }   if(null != tabDlxx.getAuditStatus()){    sql.append(" and auditStatus=?");    list.add(tabDlxx.getAuditStatus());   }  }   //把条件作为参数传给PreparedStatement  private void pstSetObject(PreparedStatement pstm,List<Object> list) throws SQLException{         if(list != null){             for(int i = 0; i < list.size(); i++){                 pstm.setObject(i+1, list.get(i));             }         }     }