Druid技巧之使用PrepareStatement时输出完整SQL语句

最新推荐文章于 2024-05-19 17:28:28 发布
最新推荐文章于 2024-05-19 17:28:28 发布
阅读量1.5w 收藏 15
点赞数 6
分类专栏: druid 文章标签: druid sql PrepareStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqzkcx3/article/details/79259117
版权

为了防止SQL注入,我们通过采用PrepareStatement代替Statement。使用Mybatis的情况下就是使用 #{} 来代替 ${}

凡事有利必有弊,这样带来了安全性,但随之而来的是调试阶段的检测SQL正确性的繁琐。因为我们需要一个个将?替换为原始的值才能放到诸如plsql里去执行。

本文介绍如何在Druid中粗略解决这个问题。

1. 前言

在现在的开发工作中,我们一般采用数据库连接池的方式来协助我们进行数据库的操作。而Druid作为国内非常知名的数据库连接池。其设计理念决定了解决我们上面提到的需求应该是一件非常轻松的事情。

2. 原理

通常我们想要Druid输出相关执行的SQL语句,我们一般会进行如下配置:

<bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource">
        .....
        <property name="filters" value="slf4j"/>
        ......
</bean>

跟随其配置,我们可以最终发现Slf4jLogFilter类。而其基类LogFilterlogExecutableSql正承担了我们所关心的任务。 而控制这个方法真正执行的正是 statementExecutableSqlLogEnable 字段的值,其默认为false, 所以我们需要启用它。

    <bean id="log-filter" class="com.alibaba.druid.filter.logging.Slf4jLogFilter">
        <property name="connectionLogEnabled" value="false"/>
        <property name="statementLogEnabled" value="false"/>
        <property name="resultSetLogEnabled" value="true"/>
	    <!-- 启用 -->
        <property name="statementExecutableSqlLogEnable" value="true"/>
    </bean>

 <!-- 数据连接池 -->
    <bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource">
        .....
        <property name="filters" value="stat,wall"/>
        ......
        <property name="proxyFilters">
            <list>
		        <!-- 载入 -->
                <ref bean="log-filter"/>
            </list>
        </property>
    </bean>

3. 疑难问题

发现一个问题就是,当SQL语句出错时Druid是不会进行 ? 替换的。 所以我们需要进行一些魔改。

// 使用如下类代替默认的Slf4jLogFilter 进行Filter注册.
/*
	datasource.setProxyFilters(new ArrayList<Filter>() {
		private static final long serialVersionUID = 1L;

		{
			add(constructFilter());
		}
	});
*/
public class DruidSlf4jLoggerFilterEx extends Slf4jLogFilter {

	private static final Logger LOG = LoggerFactory
			.getLogger(DruidSlf4jLoggerFilterEx.class);

	// 将日志信息导入到我们要求的位置
	@Override
	protected void statementLogError(String message, Throwable error) {
		LOG.error(message, error);
		// super.statementLogError(message, error);
	}

	// 在SQL语句执行出错时, 依然进行 ? 替换
	@Override
	protected void statement_executeErrorAfter(StatementProxy statement,
			String sql, Throwable error) {
		if (!this.isStatementLogErrorEnabled()) {
			return;
		}

		if (!isStatementExecutableSqlLogEnable()) {
			statementLogError("{conn-" + statement.getConnectionProxy().getId()
					+ ", " + stmtId(statement) + "} execute error. " + sql,
					error);
			return;
		}

		int parametersSize = statement.getParametersSize();
		if (parametersSize <= 0) {
			statementLogError("{conn-" + statement.getConnectionProxy().getId()
					+ ", " + stmtId(statement) + "} execute error. " + sql,
					error);
		}

		final List<Object> parameters = new ArrayList<Object>(parametersSize);
		for (int i = 0; i < parametersSize; ++i) {
			JdbcParameter jdbcParam = statement.getParameter(i);
			parameters.add(jdbcParam != null ? jdbcParam.getValue() : null);
		}

		/*	Druid源码	
				String dbType = statement.getConnectionProxy().getDirectDataSource()
						.getDbType();
				String formattedSql = SQLUtils.format(sql, dbType, parameters,
						this.getStatementSqlFormatOption());
				statementLogError(
						"{conn-" + statement.getConnectionProxy().getId() + ", "
								+ stmtId(statement) + "} execute error. "
								+ formattedSql, error);
		*/

		final String formattedSql = transSql(parameters, sql);
		statementLogError(
				"{conn-" + statement.getConnectionProxy().getId() + ", "
						+ stmtId(statement) + "} execute error. "
						+ formattedSql, error);
	}
	
	private String transSql(List<Object> parameters, String sql) {

		if (sql.indexOf("?") < 0) {

			return sql;

		}

		for (int i = 0; i < parameters.size(); i++) {
			sql = sql.replaceFirst("\\?", parameters.get(i) != null ? "\'"
					+ parameters.get(i).toString() + "\'" : "NULL");
		}
		return sql;
	}	

	private String stmtId(StatementProxy statement) {
		StringBuffer buf = new StringBuffer();
		if (statement instanceof CallableStatementProxy) {
			buf.append("cstmt-");
		} else if (statement instanceof PreparedStatementProxy) {
			buf.append("pstmt-");
		} else {
			buf.append("stmt-");
		}
		buf.append(statement.getId());

		return buf.toString();
	}


}

4. 兼容 highgoDb (2018/11/1补充)

随着毛衣战的持续,国产化软件越来越被重视,所在公司也是响应号召要求支持highgoDb ;但在实际的使用过程中发现Druid在输出执行SQL时会报错,经过一番查找发现是因为Druid在格式化SQL语句时无法确定dbType导致的,具体源码如下:

// 被LogFilter.logExecutableSql()所调用
//	SQLUtils.format()
public static String format(String sql, String dbType, List<Object> parameters, FormatOption option) {
	try {
		// 截止Druid1.1.3, 提供了主流数据库db2, oracle, mysql, sqlserver, postgresql等的支持; highgoDb肯定就不在其中了
		SQLStatementParser parser = SQLParserUtils.createSQLStatementParser(sql, dbType, true);
		parser.setKeepComments(true);

		List<SQLStatement> statementList = parser.parseStatementList();

		return toSQLString(statementList, dbType, parameters, option);
	} catch (ParserException ex) {
		LOG.warn("format error", ex);
		return sql;
	}
}

跟踪dbType的来源,最终的解决方案如下:

<bean id="mainDataSource" class="com.alibaba.druid.pool.DruidDataSource">
	...
	<property name="dbType" value="postgresql" />		
</bean>

5. Links

  1. Druid搭配log4j2输出SQL语句和结果
夫礼者
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mapper.xml文件中查询Oracle报参数个数错误
洲哥的博客
10-11 2403
1.场景描述 我的 mapper.xml文件中查询Oracle数据的写法如下: <select id="selectCountBetweenTime" parameterType="java.util.Map" resultType="int"> select count(*) from CHAIN_ORDER where SELLER_NAME LIKE CONC...
获取操作数据库的sql输出带参数的
07-29
1. 日志记录:许多数据库连接池(如Apache DBCP、HikariCP或Druid)允许配置记录SQL语句的执行情况。通过开启日志功能,可以捕获并分析程序运行执行的SQL。 2. 数据库调试工具:例如MySQL的Workbench或Oracle的...
Springboot Druid配置可执行sql配置
weixin_44141567的博客
06-27 4072
使用spring boot + mybatis-plus + druid打印可执行sql语句
springboot使用druid记录sql脚本日志
思考、总结、专注
05-23 4375
方法一: 在application.properties设置开启slf4j过滤器 #开启slf4j过滤器 spring.datasource.druid.filter.slf4j.enabled=true 然后在logback-spring.xml文件配置日志输出 <logger name="druid.sql.Statement" level="DEBUG" additivity="false"> <appender-ref ref="STDOUT" /> ...
若依微服务项目01 - 报错解决:Communications link failure
最新发布
全栈技术分享,项目分享,资料分享
05-19 219
在每次重启数据库的候,登录系统会报错。第一次会出现用户名不存在等情况,后台会报错,前端依旧可以进入,或者等待间5分钟,期间不做任何操作,重新登录,这个问题就会复现,复现这个问题最快的方法就是重启数据库。目前可以通过降低druid版本来解决这个问题。在根目录下的pom.xml文件中将。
Druid 源码解读---关于SQLStatement的解读(2)
ning_jerry的博客
05-16 2735
什么是AST 语法树
使用Druid解析SQL,获取SQL中所有使用的表
u012272367的博客
08-17 2376
使用Druid解析SQL,获取SQL中所有使用的表
Druid连接池连接MySQL报错:
boos_zhao的博客
07-29 1770
Druid连接池连接MySQL报错: 问题描述: Druid连接池链接mysql错误提示: create connection SQLException, url: jdbc:mysql://127.0.0.1:3306/bank, errorCode 原因分析: 这种有以下几种情况: 1.你的数据库连接配置错误 2.MySQL没有启动,服务没打开 解决方案: 1.数据库连接配置错误 datasource: type: com.alibaba.druid.pool.DruidD
PreparedStatement 输出SQL语句
kingwin28的博客
02-13 1180
PreparedStatement 输出SQL语句
使用Java实现数据库编程.zip
09-11
3. **创建Statement或PreparedStatement**:`Connection`对象的`createStatement()`或`prepareStatement()`方法,用于执行SQL语句。 4. **执行SQL**:调用`Statement`或`PreparedStatement`的方法执行查询或更新操作...
jdbc.zip_java jdbc
09-14
4. 执行SQL语句:`Statement stmt = conn.createStatement()` 或 `PreparedStatement pstmt = conn.prepareStatement(sql)`。 5. 获取结果:`ResultSet rs = stmt.executeQuery(sql)` 或 `ResultSet rs = pstmt....
JDBC 增删改的操作.docx
06-26
对于删除和更新操作,逻辑大致相同,只需更改SQL语句并设置合适的参数即可。例如,删除id为1的学生: ```java String sql = "DELETE FROM student WHERE id = ?"; try (Connection conn = JDBCUtils.getConnection...
springboot druid 数据库多SQL错误multi-statement not allow
水里飞鸟的博客
04-20 5406
Caused by: java.sql.SQLException: sql injection violation, multi-statement not allowcom.alibaba.druid.wall.WallFilter.check(WallFilter.java:714) atcom.alibaba.druid.wall.WallFilter.connection_prepareS...
Spring boot 项目连接oracle,select成功,update失败
yanyanhj的博客
03-08 3112
报错信息:ERROR druid.sql.Statement-{conn-10005, pstmt-20003} execute error. update tableName 2019-03-07 17:33:31.068 [eb5cea64-8699-41fb-9946-ceaeb4be49cd] ERROR c.alibaba.druid.pool.DruidDataSource-disca...
Oracle预编译的SQL语句处理
Magister_Feng的专栏
07-13 5723
一、预编译的SQL语句处理 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement
【Seata】AT模式常见报错及解决
柒杯红酒
11-14 6122
seata 、RmTransactionException:Runtime、ShouldNeverHappenException、RmTransactionException:Response
自定义Druid的拦截器
chuandie7960的博客
02-05 1422
Druid是一个JDBC组件,它包括三部分: DruidDriver 代理Driver,能够提供基于Filter-Chain模式的插件体系。 DruidDataSource 高效可管理的数据库连接池。 SQLParser Druid可以做什么? 1) 可以...
Druid源码分析(六)-- 获取连接
可惜没如果的博客
05-18 626
Druid源码分析(六)-- 获取连接Druid源码分析(六)-- 获取连接获取连接,执行sql Druid源码分析(六)-- 获取连接 获取连接,执行sql 运行 druid-spring-boot-starter 模块的 com.alibaba.druid.spring.boot.demo.DemoApplication 在 DruidDataSource#getConnection() 打上断点 然后通过postman调用接口 可以看到,走进程序断点了,userDao.findOne 通过hiber
java 使用 druid 修改sql
09-14
Java可以使用Druid来连接数据库,并使用Druid API修改SQL语句Druid是一个高性能、可靠的开源数据库连接池,它支持JDBC和ODBC,可以为Java应用程序提供高效的数据访问。 下面是一个简单的使用Druid修改SQL语句的示例代码: ```java import com.alibaba.druid.pool.DruidDataSource; import com.alibaba.druid.pool.DruidPooledConnection; import java.sql.PreparedStatement; import java.sql.SQLException; public class Main { public static void main(String[] args) throws SQLException { DruidDataSource dataSource = new DruidDataSource(); dataSource.setUrl("jdbc:mysql://localhost:3306/test"); dataSource.setUsername("root"); dataSource.setPassword("password"); DruidPooledConnection connection = dataSource.getConnection(); PreparedStatement statement = connection.prepareStatement("update users set name = ? where id = ?"); statement.setString(1, "newName"); statement.setLong(2, 123); int updateCount = statement.executeUpdate(); System.out.println("Updated " + updateCount + " rows."); statement.close(); connection.close(); } } ``` 这个示例代码连接到本地MySQL数据库,修改了一个名为“users”的表中ID为123的行的“name”列的值。首先,创建了一个Druid数据源,并设置了数据库连接的URL、用户名和密码。然后,从数据源中获取一个连接,并准备执行SQL语句使用`PreparedStatement`类设置要修改的值和条件,并使用`executeUpdate()`方法执行SQL语句。最后,关闭语句和连接。 需要注意的是,这个示例代码没有使用Druid的一些高级功能,如连接池的管理和监控等。在实际开发中,应该根据实际情况配置和使用Druid,以提高数据库访问的性能和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值