动机:
这里不讨论JDBC之外的东西,这里仅假定选用JDBC。
如果用Statement进行数据库操作,要自已进行SQL防注入处理;
如果用PreparedStatement,虽然可以防注入,但是当在拼接条件时,如果条件变动或有字段变动,按默认的处理方式,则需要人工肉眼去注意占位符的前后顺序,容易出错。 因此有了以下工具。
思路:
仿 Delphi中的SQL字符串预处理,引入以”:r"开始的占位关键字段。例:
select * from man where no=:rno and name like :rname
用户写入如上类似的SQL语句,然后为“rno"、“rname”指定参数值,然后直接使用即可。
优点:
1、动态拼接时,参数的位置可以任意鸾化,SQL语句的参数可以动态增减
2、天然防SQL注入
3、对于动态的SQL拼接的要求限制很少,但又几乎没损SQL的功能。 唯一要求就是 SQL语句中的参数必须是 “:r"或“:R"开始 空格结束。
4、用户按普通字符串,按自已的目的与SQL语法要求,动态拼接即可。 凡时要用到参数的地方,以":r"开始 空格结束 命名参数即可。例:
update man set name = :rname where no=:rno
缺点:
1、增加了对SQL语句的处理,理论上性能会有所下降。
2、为了简单方便,在封装时在对PreparedStatement指定参数时,使用了
setObject方法。有可能会带来性能上的微小下降。
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.logging.Level;
import java.util.logging.Logger;
import org.junit.Test;
public class PreparedStatementTool {
protected static final Logger loger=Logger.getLogger(PreparedStatementTool.class.getName());
public static class ParamMap{
//主存储体,Key为占位字段,value为其值
private HashMap<String,String> map;
//在产生PreparedStatement所需sqlL字符串时,Key为占位字段的生成顺序,值为占位字段
private ArrayList<String> indexs;
public void put(String key,String value){
if(map==null) map=new HashMap<String,String>();
map.put(key, value);
}
public void clear(){
if (map !=null) map.clear();
if(indexs!=null) indexs.clear();
}
public String get(String key){
if(map!=null) return map.get(key);
return null;
}
public int getSize(){
if(indexs!=null) return indexs.size();
return 0;
}
public String get(int i){
if(indexs==null) return null;
String key=indexs.get(i);
if (key==null || key.equals("")) return null;
if(map!=null ) return map.get(key);
return null;
}
protected void setIndex(String key){
if(map==null) return ;
if(indexs==null) indexs=new ArrayList<String>();
indexs.add(key);
}
}
public static ParamMap getParamMapInstance(){
return new ParamMap();
}
public static boolean isDelimiter(char c){
if(Character.isWhitespace(c) ){
return true;
}
return false;
}
public static String getSql(String presql,ParamMap paraemeters){
StringBuilder sb=new StringBuilder();
StringBuilder old=new StringBuilder(presql);
StringBuilder temp=new StringBuilder();
boolean r=false,colon=false;
for(int i=0;i<presql.length();i++){
char c=presql.charAt(i);
if( isDelimiter(c) && temp.length()>0){
r=false;colon=false;
paraemeters.setIndex(temp.toString());
sb.append('?').append(c);
temp.delete(0, temp.length());
} else if( isDelimiter(c) && temp.length()<=0){
r=false;colon=false;
sb.append(c);
} else if(Character.toUpperCase(c)==':'){
colon=true;//如果是空格后第一个是冒号
}else if(Character.toUpperCase(c)=='R' && colon){
colon=false;
r=true;//如果空格后是冒号且是R开头的(不会大小写)
temp.append(c);
} else if(r){
temp.append(c);
} else {
sb.append(c);
}
}
if(r){
paraemeters.setIndex(temp.toString());
sb.append('?');
}
return sb.toString();
}
public static PreparedStatement getPreparedStatement(Connection cnn,String preSql,
ParamMap paraemeters) throws SQLException
{
String str=getSql(preSql,paraemeters);
loger.log(Level.INFO, str);
PreparedStatement preState = cnn.prepareStatement(str);
StringBuilder sb=new StringBuilder("paraemeters is: ");
for(int i=0;i<paraemeters.getSize();i++){
preState.setObject(i+1,paraemeters.get(i));
sb.append(i+1).append(':').append(paraemeters.get(i));
sb.append("; ");
}
loger.log(Level.INFO,sb.toString() );
return preState;
}
@Test
public void test() throws ClassNotFoundException, SQLException{
String connType="com.mysql.jdbc.Driver";
String DBurl="jdbc:mysql://localhost:3306/floceay";
String user="root";
String pass="123456";
Class.forName(connType);
Connection con=DriverManager.getConnection(DBurl, user, pass);
String str="select * from man where no=:rno and name like :rname ";
ParamMap ps=getParamMapInstance();
ps.put("rname", "%dd%");
ps.put("rno", "1");
PreparedStatement preState = getPreparedStatement(con, str, ps);
ResultSet result= preState.executeQuery();
System.out.println("man表数据如下:");
while(result.next()){
System.out.println("no:"+result.getObject("no") +
";name:"+result.getString("name"));
}
preState.close();
con.close();
System.out.println();
}
}
完毕
分享到:
相关推荐
内容概要:本文提供了详细的MongoDB分片集群的搭建指导,涵盖了从环境准备、配置文件编写、副本集的建立、主节点的选择、配置服务器和数据分片服务器的配置到最后的路由节点的搭建与操作整个流程,以及对数据库的哈希与范围两种分片策略的应用介绍和具体命令执行。 适合人群:熟悉NoSQL数据库概念并对MongoDB有一定了解的技术人员,尤其是在大型数据管理和分布式数据库架构设计中有需求的开发者。 使用场景及目标:帮助技术人员掌握构建高效能、高可用性的MongoDB分片集群的方法,适用于处理大规模、实时性强的数据存储与读取场景。 其他说明:文中通过实例演示了每个步骤的具体操作方法,便于跟随文档实操,同时也介绍了可能遇到的问题及其解决方案,如在没有正确配置的情况下试图写入数据时出现错误等情况的处理。
CPPC++_嵌入式硬件的物联网解决方案blinker库与Arduino ESP8266 ESP32一起工作
CPPC++_逆向调用QQ Mojo IPC与WeChat XPlugin
CPPC++_现代活动指标
CPPC++_Xournal是一款手写笔记软件,支持PDF注释,使用C语言编写,支持GTK3,支持Linux,如Ubu
资源概述: 本资源提供了一套完整的学生实习管理系统解决方案,涵盖了前台小程序页面与后台管理系统两大模块。前台小程序页面设计简洁直观,用户可根据不同身份(学生或企业)进行登录。学生用户能够方便地浏览并投递感兴趣的实习岗位,而企业用户则能轻松发布实习信息,吸引优秀人才。后台管理系统功能全面,包括个人中心、首页、学生管理、教师管理、企业管理、招聘管理、评分管理以及实习管理等多个方面,为管理员提供了强大的数据管理和操作工具。 技术栈亮点: SSM框架:系统后台采用Spring、Spring MVC和MyBatis Plus(简称SSM)作为核心开发框架,确保了系统的稳定性、可扩展性和可维护性。Spring作为控制反转(IoC)和面向切面编程(AOP)的容器,为系统提供了强大的业务逻辑处理能力;Spring MVC则负责处理Web请求和响应,实现了前后端的分离;MyBatis Plus作为持久层框架,简化了数据库操作,提高了开发效率。 MySQL数据库:系统采用MySQL作为数据库存储解决方案,支持大数据量的存储和高效查询。 如有侵权请联系我删除,谢谢
微服务闪聚支付项目
博客链接 https://blog.csdn.net/weixin_47560078/article/details/143714557 文章从原理介绍出发,实现了 Rust 与 Java 的互调。利用 JNI 技术,可以充分发挥 Rust 的性能优势,同时保持 Java 的跨平台特性。这种技术组合适用于对性能要求较高的应用场景,如图像处理、数据分析和系统级编程等。
cppc++
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
分布式事务lcn
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
cppc++
安卓手机与电脑的socket通信源码
Anaconda:JupyterNotebook使用教程.docx
Amazon S3:S3静态网站托管教程.docx
Python商品销售数据分析可视化项目源码(期末大作业).zip,个人经导师指导并认可通过的98分大作业设计项目。主要针对计算机相关专业的正在做期末大作业设计的学生和需要项目实战练习的学习者,可作为课程设计、期末大作业,代码资料完整下载可用。 Python商品销售数据分析可视化项目源码(期末大作业).zip,个人经导师指导并认可通过的98分大作业设计项目。主要针对计算机相关专业的正在做期末大作业设计的学生和需要项目实战练习的学习者,可作为课程设计、期末大作业,代码资料完整下载可用。Python商品销售数据分析可视化项目源码(期末大作业).zip,个人经导师指导并认可通过的98分大作业设计项目。主要针对计算机相关专业的正在做期末大作业设计的学生和需要项目实战练习的学习者,可作为课程设计、期末大作业,代码资料完整下载可用。Python商品销售数据分析可视化项目源码(期末大作业).zip,个人经导师指导并认可通过的98分大作业设计项目。主要针对计算机相关专业的正在做期末大作业设计的学生和需要项目实战练习的学习者,可作为课程设计、期末大作业,代码资料完整下载可用。Python商品销售数据分析
CPPC++_wechathookWeChatApi微信Api微信hook微信接口python微信接口java微信Ap