jdbc 的PreparedStatement工具
程序员文章站
2022-04-06 09:42:39
...
动机:
这里不讨论JDBC之外的东西,这里仅假定选用JDBC。
如果用Statement进行数据库操作,要自已进行SQL防注入处理;
如果用PreparedStatement,虽然可以防注入,但是当在拼接条件时,如果条件变动或有字段变动,按默认的处理方式,则需要人工肉眼去注意占位符的前后顺序,容易出错。 因此有了以下工具。
思路:
仿 Delphi中的SQL字符串预处理,引入以”:r"开始的占位关键字段。例:
select * from man where no=:rno and name like :rname
用户写入如上类似的SQL语句,然后为“rno"、“rname”指定参数值,然后直接使用即可。
优点:
1、动态拼接时,参数的位置可以任意鸾化,SQL语句的参数可以动态增减
2、天然防SQL注入
3、对于动态的SQL拼接的要求限制很少,但又几乎没损SQL的功能。 唯一要求就是 SQL语句中的参数必须是 “:r"或“:R"开始 空格结束。
4、用户按普通字符串,按自已的目的与SQL语法要求,动态拼接即可。 凡时要用到参数的地方,以":r"开始 空格结束 命名参数即可。例:
update man set name = :rname where no=:rno
缺点:
1、增加了对SQL语句的处理,理论上性能会有所下降。
2、为了简单方便,在封装时在对PreparedStatement指定参数时,使用了
setObject方法。有可能会带来性能上的微小下降。
完毕
这里不讨论JDBC之外的东西,这里仅假定选用JDBC。
如果用Statement进行数据库操作,要自已进行SQL防注入处理;
如果用PreparedStatement,虽然可以防注入,但是当在拼接条件时,如果条件变动或有字段变动,按默认的处理方式,则需要人工肉眼去注意占位符的前后顺序,容易出错。 因此有了以下工具。
思路:
仿 Delphi中的SQL字符串预处理,引入以”:r"开始的占位关键字段。例:
select * from man where no=:rno and name like :rname
用户写入如上类似的SQL语句,然后为“rno"、“rname”指定参数值,然后直接使用即可。
优点:
1、动态拼接时,参数的位置可以任意鸾化,SQL语句的参数可以动态增减
2、天然防SQL注入
3、对于动态的SQL拼接的要求限制很少,但又几乎没损SQL的功能。 唯一要求就是 SQL语句中的参数必须是 “:r"或“:R"开始 空格结束。
4、用户按普通字符串,按自已的目的与SQL语法要求,动态拼接即可。 凡时要用到参数的地方,以":r"开始 空格结束 命名参数即可。例:
update man set name = :rname where no=:rno
缺点:
1、增加了对SQL语句的处理,理论上性能会有所下降。
2、为了简单方便,在封装时在对PreparedStatement指定参数时,使用了
setObject方法。有可能会带来性能上的微小下降。
import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.ArrayList; import java.util.HashMap; import java.util.logging.Level; import java.util.logging.Logger; import org.junit.Test; public class PreparedStatementTool { protected static final Logger loger=Logger.getLogger(PreparedStatementTool.class.getName()); public static class ParamMap{ //主存储体,Key为占位字段,value为其值 private HashMap<String,String> map; //在产生PreparedStatement所需sqlL字符串时,Key为占位字段的生成顺序,值为占位字段 private ArrayList<String> indexs; public void put(String key,String value){ if(map==null) map=new HashMap<String,String>(); map.put(key, value); } public void clear(){ if (map !=null) map.clear(); if(indexs!=null) indexs.clear(); } public String get(String key){ if(map!=null) return map.get(key); return null; } public int getSize(){ if(indexs!=null) return indexs.size(); return 0; } public String get(int i){ if(indexs==null) return null; String key=indexs.get(i); if (key==null || key.equals("")) return null; if(map!=null ) return map.get(key); return null; } protected void setIndex(String key){ if(map==null) return ; if(indexs==null) indexs=new ArrayList<String>(); indexs.add(key); } } public static ParamMap getParamMapInstance(){ return new ParamMap(); } public static boolean isDelimiter(char c){ if(Character.isWhitespace(c) ){ return true; } return false; } public static String getSql(String presql,ParamMap paraemeters){ StringBuilder sb=new StringBuilder(); StringBuilder old=new StringBuilder(presql); StringBuilder temp=new StringBuilder(); boolean r=false,colon=false; for(int i=0;i<presql.length();i++){ char c=presql.charAt(i); if( isDelimiter(c) && temp.length()>0){ r=false;colon=false; paraemeters.setIndex(temp.toString()); sb.append('?').append(c); temp.delete(0, temp.length()); } else if( isDelimiter(c) && temp.length()<=0){ r=false;colon=false; sb.append(c); } else if(Character.toUpperCase(c)==':'){ colon=true;//如果是空格后第一个是冒号 }else if(Character.toUpperCase(c)=='R' && colon){ colon=false; r=true;//如果空格后是冒号且是R开头的(不会大小写) temp.append(c); } else if(r){ temp.append(c); } else { sb.append(c); } } if(r){ paraemeters.setIndex(temp.toString()); sb.append('?'); } return sb.toString(); } public static PreparedStatement getPreparedStatement(Connection cnn,String preSql, ParamMap paraemeters) throws SQLException { String str=getSql(preSql,paraemeters); loger.log(Level.INFO, str); PreparedStatement preState = cnn.prepareStatement(str); StringBuilder sb=new StringBuilder("paraemeters is: "); for(int i=0;i<paraemeters.getSize();i++){ preState.setObject(i+1,paraemeters.get(i)); sb.append(i+1).append(':').append(paraemeters.get(i)); sb.append("; "); } loger.log(Level.INFO,sb.toString() ); return preState; } @Test public void test() throws ClassNotFoundException, SQLException{ String connType="com.mysql.jdbc.Driver"; String DBurl="jdbc:mysql://localhost:3306/floceay"; String user="root"; String pass="123456"; Class.forName(connType); Connection con=DriverManager.getConnection(DBurl, user, pass); String str="select * from man where no=:rno and name like :rname "; ParamMap ps=getParamMapInstance(); ps.put("rname", "%dd%"); ps.put("rno", "1"); PreparedStatement preState = getPreparedStatement(con, str, ps); ResultSet result= preState.executeQuery(); System.out.println("man表数据如下:"); while(result.next()){ System.out.println("no:"+result.getObject("no") + ";name:"+result.getString("name")); } preState.close(); con.close(); System.out.println(); } }
完毕
推荐阅读
-
你的团队需要一套工具指南_html/css_WEB-ITnose
-
php的字符编码转换工具
-
Oracle工具PL/SQL的基本语法
-
MySQL的管理工具:phpMyAdmin使用简介
-
C#中调用Windows系统服务exe程序的工具类与重启服务的流程
-
装机必备!这个工具箱App能满足你99%的需要
-
懒人的诉求:有没有支持CSS文件的可视化的页面开发工具?_html/css_WEB-ITnose
-
在Windows下安装MySQL的图形管理工具phpMyAdmin_PHP
-
EXCEL导入导出工具DataPieV3.7更新,大幅提升EXCEL导入ACCESS的
-
java当中JDBC当中请给出一个sql server的dataSource的helloworld例子