Comment créer une dynamique de l'instruction préparée en Java?

Je sais à l'aide de déclarations préparées à l'avance permet d'éviter les injection sql. Mon problème est, qu'une instruction préparée est généralement très statique. J'ai un problème, lorsque j'ai construit la clause where de l'instruction sql de la requête au moment de l'exécution, en fonction de l'entrée utilisateur. En fonction d'entrée-champs sont remplis, je dois ajouter la correspending énoncés à la clause where. Comment cela peut-il être réalisé avec des requêtes préparées?

InformationsquelleAutor Mnementh | 2012-03-30
  1. 3

    Je suppose que vous pourriez générer dynamiquement votre prêt consolidés sur la base de ce que les colonnes qu'ils veulent de la requête, c'est à dire utiliser un StringBuffer et une boucle de construire sur la base de la colonne requise.

    Pour plus d'efficacité vous devez garder dans une sorte de recherche en mémoire. Donc, si vous voulez retrouver avec une Carte ou une autre collection de déclarations préparées à l'avance où la recherche est la clé de colonnes, ils sont conçus pour s'interroger.

    • OK, mais cela signifie aussi que j'ai aussi de garder la liste de paramètres avec mon sql-query, parce que l'ajout de valeurs n'est possible qu'avec les indices. Suis-je le droit?
    • Oui, vous avez besoin de garder le paramètre de nom de colonne pour faire une recherche dans votre cache, vous auriez également besoin de maintenir sa commande ou de l'ordre prévisible, d'une certaine façon (alphabétique?) donc, vous savez qui "?" pour la remplacer par votre requête de données. L'espoir c'est ce qui fait sens, SQL n'est pas ma première langue 🙂
    • Niot aussi facile que je l'espère, mais gérable. Je vous remercie.
    • Je pense que la meilleure façon de faire de la recherche dynamique est à l'aide d'une procédure stockée. Il peut être gênant lorsque vous essayez de construire la requête et les paramètres à l'aide de déclarations préparées à l'avance. Et si vous n'utilisez pas de déclarations préparées à l'avance, vous êtes vulnérable à des attaques par injection.
    InformationsquelleAutor Jonathan
  2. 3

    Si vous êtes à la construction de la où/et de la clause(s) dans votre requête basée sur ce que les options que l'utilisateur a sélectionné alors, je suppose que vous savez déjà ce que des modifications devront être apportées à la requête en vue d'obtenir les données souhaitées. Si c'est le cas, alors vous pourriez créer une méthode qui prend l'option de l'utilisateur le demande en tant que paramètre à la méthode, la méthode s'appuie la requête et renvoie cette requête.

    //something similar to the following
public String buildQuery(int option){
  StringBuilder sb = new StringBuilder();
  sb.append("select fields from table");
  switch(option){
    case 1:
     //build query and append to sb
     sb.append("where clause for option1");
    case 2:
     //build query and append to sb
     sb.append("where clause for option2");
    default:
    //build query using default
    sb.append("default where clause");
  }

  return sb.toString();
}
//create the stored procedure
PreparedStatement ps = conn.prepareStatement(buildQuery(2));
ResultSet rs = ps.executeQuery();

    Maintenant, si vous avez besoin d'utiliser certaines des valeurs entrées par l'utilisateur dans la requête, vous pouvez les stocker temporairement dans une liste ou sur la carte et de les définir.

    ps.setString(1,list.get(0));
ps.setString(2,list.get(1));
ResultSet rs = ps.executeQuery();

    Il y a probbaly plus elegeant solution au problème, mais nous avons une application qui interroge la base de données pour les enregistrements à l'aide de l'entrée de l'utilisateur pour construire les requêtes et c'est très bien pour les deux dernières années. Espérons que cela aide.

    InformationsquelleAutor ChadNC
  3. 2

    Si vous voulez seulement la protection contre l'injection sql, la construction de la requête au moment de l'exécution est OK, tant que vous n'insérez rien d'utilisateur envoyé dans la requête (mais l'insertion de la clause si l'utilisateur a envoyé au moins quelque chose dans le champ est ok).

    Performances - je ne sais pas. Peut-être que DB va mettre en cache les requêtes préparées, si vous construisez exactement le même, il sera plus rapide, ou il ne sera pas. Je ne sais pas comment trouver le hors.

    • À partir de la documentation Javadoc pour PreparedStatement "Un objet qui représente un fichier SQL." Basé sur que je ne ferais pas confiance à la DB pour le cache, je préfère le cache de moi-même. Si sûr vous pouvez toujours profil. Mais il serait probablement plus rapide à mettre en œuvre le cache 😉
    • selon theserverside.com/news/1365244/... la mise en cache peut être fait par le pool de connexion.
    InformationsquelleAutor Alpedar
  4. 0

    Si vous êtes en utilisant Hibernate, Les Critères De Requêtes API est un bel outil pour éviter de concaténation de Chaîne de construire des Requêtes SQL. Avec la plaine JDBC, vous aurez à aller à un StringBuffer comme @vous jhonny dit.

    InformationsquelleAutor Carlos Gavidia-Calderon
  5. -1

    Déclarer une méthode et passer le userinput par cette méthode. Ensuite, utilisez setString ou setLong en fonction de votre type de données à l'intérieur de la preparedstement objet.

    InformationsquelleAutor saravana