PreparedStatement字符串拼接

最新推荐文章于 2023-04-10 23:39:01 发布
最新推荐文章于 2023-04-10 23:39:01 发布
阅读量1.3k 收藏
点赞数
分类专栏: j2ee 文章标签: SQL Java JDBC
这在里求JDBC中PreparedStatement的实现,我想不会是这样来拼接。 

package com.dicmo.test;

import java.util.ArrayList;
import java.util.List;


public class PreparedStatement{
	private String sql;

	public String getSql() {
		return sql;
	}
	public void setSql(String sql) {
		this.sql = sql;
	}
	PreparedStatement(String sql){
		this.sql = sql;
	}
	public void setInt(int index,int value){
		List <Integer> indexList = new ArrayList<Integer>();
			char [] sqlArray = sql.toCharArray();
			for (int i=0;i<sqlArray.length;i++){
				if('?'==sqlArray[i]){
					indexList.add(i);
				}
			}
			sql = sql.substring(0,Integer.parseInt(indexList.get(index-1).toString()))
			+"?"+value+sql.substring(Integer.parseInt(indexList.get(index-1).toString())+1);
			System.out.println(sql);
	}

	public void setString(int index,String value){
		List <Integer> indexList = new ArrayList<Integer>();
		char [] sqlArray = sql.toCharArray();
		for (int i=0;i<sqlArray.length;i++){
			if('?'==sqlArray[i]){
				indexList.add(i);
			}
		}
//这里使用?继续做占位符,保持参数的位置不变
//在最后面把?全替换掉
			sql = sql.substring(0,Integer.parseInt(indexList.get(index-1).toString()))
			+"?\'"+value+"\'"+sql.substring(Integer.parseInt(indexList.get(index-1).toString())+1);
	}

	public String makeNewSql(String sql){
		char [] a = sql.toCharArray();
		for(int i=0;i<a.length;i++){
			if('?'==a[i]){
				a[i]=' ';
			}
		}
		String newSQL = new String(a).replaceAll("  "," ");
		return  newSQL;
	}
	public static void main(String [] args){
		String sql ="SELECT * FROM user WHERE id = ? AND name = ? AND sex = ? And age = ? AND title = ?";
		PreparedStatement ps = new PreparedStatement(sql);
//这里的setXXX可以是任意顺序。前面的?占位符起了作用。
//如:ps.SetXXX(2,xxx);
//   ps.SetXXX(1,xxx);

		ps.setInt( 1, 2);
		ps.setString( 2, "dicmo");
		ps.setString( 3, "男");
		ps.setInt(4, 10);
		ps.setString(5, "JAVA fan");
		System.out.println(ps.makeNewSql(ps.getSql()));
	}

}

?替换处理前: 

SELECT * FROM user WHERE id = ?2 AND name = ?'dicmo' AND sex = ?'男' AND age = ?10 AND title = ?'JAVA fan'

?替换处理后: 

SELECT * FROM user WHERE id = 2 AND name = 'dicmo' AND sex = '男' AND age = 10 AND title = 'JAVA fan'
dicmo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PreparedStatement
zhujianghan的博客
10-02 133
这里写目录标题SQL注入问题 SQL注入问题 在拼接SQL时,有一些sql的特殊关键字参与字符串的拼接,会造成安全性的问题。 输入用户名随便,密码:a’ or ‘a’='a sql : select * from users where user=‘nejfrbv’ and password=‘a’ or ‘a’=‘a’;(or后面是一个恒等式) ...
ibatis拼接字符串
08-20
在本篇文章中,我们将深入探讨如何使用 Java 编程语言结合 iBatis 框架进行 SQL 字符串的动态拼接。通过分析提供的代码片段,我们可以了解到在实际开发过程中,这种动态 SQL 的构建方式非常常见,尤其是在处理复杂的...
java插入数据库字符串拼接_java中PreparedStatement解决需转义字符向数据库中插入时的转义问题 | 学步园...
weixin_39595271的博客
03-02 578
简单的执行如下语句去做数据库的插入操作是有问题的!它处理不了单引号,双引号等需要转义的字符的插入问题!String sql = "insert into emailOriginal(id,date,subject,source,target" +") value(\""+ vo.getId() + "\",\""+ vo.getDate()+"\",\""+ vo.getSubject()+"\"...
使用PreparedStatement 动态拼装like 条件。
王佳楠的专栏
04-13 1339
在使用java PreparedStatement 时,执行拼装的sql总是报错 1、错误的sql拼装: // 拼装修改记录查询条件 if(changeRecord != null && !"".equals(changeRecord)){ changeRecord = URLDecoder.decode(changeRecord, "utf-8"); whereSql.app
java如何进行字符串拼接
weixin_33754913的博客
07-05 95
将字符串数组中的字符串拼接成一个字符串,中间以“,”分割; example: String[] str={"John","lily,","lily","lucy"}; String objectStr=""; for(int i=0;i<str.length;i++){ if(i!=str.length-1){ objectStr=objectStr.c...
Java sql 复杂sql字符串拼接 防注入
最新发布
06-20
Java中处理SQL字符串拼接以防止SQL注入攻击是非常重要的,因为直接将用户输入插入到SQL查询可能导致恶意代码执行。以下是一些防范措施: 1. **使用预编译语句(PreparedStatement)**:这是最推荐的方法,预编译...
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
总的来说,避免使用`StringBuffer`进行SQL字符串拼接,转而采用PreparedStatement或者ORM框架,是现代SQL编程的最佳实践。它不仅能提高程序性能,减少内存消耗,还能显著增强系统的安全性,降低SQL注入的风险。在...
Java举例,将for循环中的sql请求改成通过字符串拼接的一次sql查询
04-19
可以把for循环中的多个sql请求的参数集中起来,通过字符串拼接成一个大的sql语句,然后一次性执行,例如: ``` String sql = "SELECT * FROM table WHERE id IN ("; for (int i = 0; i ; i++) { sql += "?"; if ...
帮我写一段代码,要求使用jdbc查询sql语句,规避sql注入漏洞,避免进行sql字符串拼接,表名是动态的
02-11
好的,这是一段使用 Java JDBC 查询 SQL 语句,并避免 SQL 注入漏洞和 ...这里使用了 `PreparedStatement`,可以避免使用字符串拼接,预防 SQL 注入漏洞。通过使用占位符 `?` 并设置实际参数,可以确保参数的安全性。
【转】PreparedStatement的用法
04-07 166
【转】PreparedStatement的用法 关键字: PreparedStatement jdbc(javadatabaseconnectivity,java数据库连接)的api中的主要的 四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题 是输入适当格式的日期和时间戳:2...
字符串拼接代码规范 转需
weixin_34072458的博客
04-07 181
String StringBufferStringBuilder 一、String类型的拼接        String str="爱我还是他"; str.concat("我已看不到我们的好");   System.out.println(str);    //"爱我还是他"   String的concat方法只会返回拼接括号内数据后的...
java的PreparedStatement中使用like时的问题
weixin_33802505的博客
12-23 222
SQL:select * from students where name like '%tommy%'; 正常的sql如上,是可以直接执行的, 那放到java的P热怕热的Statement中就应该是: //同时把tommy改成通配符? PreparedStatement pstmt1 = conn.prepareStatement("select * from student where...
演示业务中必须使用Statement完成字符串的拼接
weixin_45041745的博客
09-02 539
接上篇:java.sql.SQLSyntaxErrorException: Unknown column ‘xxx‘ in ‘where clause‘问题解决及防止SQL注入 演示业务中必须使用Statement完成字符串的拼接: 1、需求: 输入desc,对表中的数据按名字降序排序; 输入asc,对表中的数据按名字升序排序。 2、代码: 2.1 尝试用PreparedStatement完成 package com.sunny; import java.sql.*; import java.util.Sc
使用JdbcTemplate的BatchPreparedStatementSetter批量插入数据
zhangbeizhen18的博客
04-10 3099
记录:397 场景:使用JdbcTemplate从一个数据库批量查出数据存放在List中,把查出的结果数据批量写入到另一个数据库。
关于PreparedStatement以及Jpa中in参数的设置
u014529211的博客
07-24 8409
关于PreparedStatement以及Jpa中in参数的设置在实际开发的过程中,都会遇到sql语句需要传in的参数的问题,小白我在开发的过程中也踩了好多坑,今天这里结合一些大大给的答案,简单的总结一下使用PreparedStatement以及在JPA中使用Query时, in后面的参数设置的方法。PreparedStatement in参数设置PreparedStatement中本身提供的方法s
java entity tostring_Java PreparedStatement.toString方法代码示例
weixin_42406647的博客
03-01 250
import java.sql.PreparedStatement; //导入方法依赖的package包/类/*** Gets called by {@code JdbcTemplate.execute} with an active JDBC* PreparedStatement. Does not need to care about closing the Statement* or the...
PreparedStatement防止sql注入原理
程宇寒
12-18 6804
PreparedStatement类是java的一个类,准确说是jdbc规范中的一个接口,各个数据库产商的实现不同(即实现类不同),今天我们就以mysql数据库来说,我已经下载了mysql数据库的驱动jar包和驱动程序的源代码. sql注入的时候,比如,有些用户就会在界面上输入anything' OR 'x'='x这种东西,最后sql语句就是如下: SELECT * FROM users WH...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值