动态构造sql利器:rapid-xsqlbuider 详细说明

最新推荐文章于 2022-12-31 10:56:56 发布
最新推荐文章于 2022-12-31 10:56:56 发布
阅读量765 收藏
点赞数 1
分类专栏: SQL

特性列表:

  1. 动态构造sql条件语句,提供sql拼接与使用占位符两种方式
  2. 数据类型的修饰
  3. 对SQL注入攻击的防范

问题:

手工构造SQL语句的情况

<a name="xsqlbuilder-%E9%97%AE%E9%A2%98%3A" data-cke-saved-name="xsqlbuilder-%E9%97%AE%E9%A2%98%3A"><span style="color:#000000"> </span></a>

Java代码 复制代码 收藏代码

  1. String sql = "select * from user where 1=1 ";  
  2. String user_id = (String)filters.get("user_id");  
  3. if( user_id != null && user_id.length() > 0) {  
  4.    sql = sql + " and user_id = " + user_id;  
  5. }  
  6. String age = (String)filters.get("age");  
  7. if(age != null && age.length() > 0) {  
  8.    sql = sql + " and age > " + age;  
  9. }  
String sql = "select * from user where 1=1 ";
String user_id = (String)filters.get("user_id");
if( user_id != null && user_id.length() > 0) {
   sql = sql + " and user_id = " + user_id;
}
String age = (String)filters.get("age");
if(age != null && age.length() > 0) {
   sql = sql + " and age > " + age;
}

 

过多的if判断导致sql语句不清晰,我们再来看下rapid-xsqlbuilder的做法

rapid-xsqlbuilder构造SQL例子

示例:

Java代码 复制代码 收藏代码

  1. // 清晰的sql语句,/~ ~/为一个语法块  
  2.  String sql= "select * from user where 1=1 "   
  3.          + "/~ and username = {username} ~/"     
  4.          + "/~ and password = {password} ~/";     
  5.    
  6.  // filters为参数  
  7.  Map filters = new HashMap();     
  8.  filters.put("username", "badqiu");   
  9.  filters.put("sex", "F");    
  10.    
  11.  XsqlFilterResult result = new XsqlBuilder().generateHql(sql,filters);  
  12.    
  13.  assertTrue(result.getAcceptedFilters().containsKey("username"));  
  14.  assertFalse(result.getAcceptedFilters().containsKey("sex"));  
  15.  assertEquals("select * from user where 1=1  and username = :username ", result.getXsql());  
// 清晰的sql语句,/~ ~/为一个语法块
 String sql= "select * from user where 1=1 " 
         + "/~ and username = {username} ~/"   
         + "/~ and password = {password} ~/";   
 
 // filters为参数
 Map filters = new HashMap();   
 filters.put("username", "badqiu"); 
 filters.put("sex", "F");  
 
 XsqlFilterResult result = new XsqlBuilder().generateHql(sql,filters);
 
 assertTrue(result.getAcceptedFilters().containsKey("username"));
 assertFalse(result.getAcceptedFilters().containsKey("sex"));
 assertEquals("select * from user where 1=1  and username = :username ", result.getXsql());

 

XsqlFilterResult为处理完返回的东西,包含两个属性xsql,acceptedFilters

被过滤掉的东西:

SQL过滤: /~ and password = {password} ~/
这一段由于在filters中password不存在而没有被构造出来

filters过滤: sex
filters中由于没有类似/~ sex={sex} ~/ 这一段,所以在过滤完的filters中不存在

最终构造生成的结果

HQL: XsqlFilterResult.xsql属性

<a name="xsqlbuilder-%E6%9C%80%E7%BB%88%E6%9E%84%E9%80%A0%E7%94%9F%E6%88%90%E7%9A%84%E7%BB%93%E6%9E%9C" data-cke-saved-name="xsqlbuilder-%E6%9C%80%E7%BB%88%E6%9E%84%E9%80%A0%E7%94%9F%E6%88%90%E7%9A%84%E7%BB%93%E6%9E%9C">select * from user where 1=1 and username=:username</a>

构造后返回的Map filters: XsqlFilterResult.acceptedFilters 属性
username=badqiu

语法

语法

/~ {key} ~/
/~ [key] ~/
/~ {key_1} [key_2] ... {key_3} ~/
/~ {key?modifier} ~/
/~ {key?modifier(arg1,arg2) ~/
/~ {key?modifier?modifier?...?modifier} ~/

示例:

/~ username = {username} ~/
/~ password like '%[password]%' ~/
/~ birthDate > {startBirthDate} and birthDate < [endBirthDate] ~/

数据据类型修饰

将Map filters中的数据类型修饰为另外一种类型

/~ {username} ~/
/~ {age?int} ~/
/~ {birthDate?timestamp(yyyy年MM月dd日)} ~/

中括号[]与大括号{}的区别

中括号会直接替换为其值,用于拼接SQL
在XsqlFilterResult.getAcceptedFilters()中不会存在该key的值
如 /~ username like '%[username]%' ~/,如果filters中username=badqiu
则会生成: username like '%badqiu%'

 

大拓号只是起到标记作用,用于占位符
原始方法是XsqlBuilder.applyFilters(sql,filters);
如"/~ and username = {username} ~/",过滤完还是为 and username = {username}
但在这时我们使用将{username}替换为HQL的:username或是SQL的?号

SQL注入攻击的防范

问题:
拼接的SQL如果不对单引号(有些数据库有反斜杠)进行过滤,则会存在SQL注入攻击问题

解决:
使用SafeSqlProcesser,进行sql过滤

Java代码 复制代码 收藏代码

  1. XsqlBuilder builder = new XsqlBuilder(SafeSqlProcesserFactory.getMysql());  
XsqlBuilder builder = new XsqlBuilder(SafeSqlProcesserFactory.getMysql());

 

SafeSqlProcesser其中的一个源码分析

Java代码 复制代码 收藏代码

  1. /** 
  2.  * 过滤单个单引号为双引号的SafeSqlFilter<p> 
  3.  * 适用数据库(MS SqlServer,Oracle,DB2) 
  4.  */  
  5. public String process(String value) {  
  6.     if(value == null) return null;  
  7.     return value.replaceAll("'", "''"); // Mysql还需过滤反斜框  
  8. }  
/**
 * 过滤单个单引号为双引号的SafeSqlFilter<p>
 * 适用数据库(MS SqlServer,Oracle,DB2)
 */
public String process(String value) {
	if(value == null) return null;
	return value.replaceAll("'", "''"); // Mysql还需过滤反斜框
}

 

Project Home: http://code.google.com/p/rapid-xsqlbuilder/

最后不忘为rapid-framework宣传一下,本工具也集成在里面

rapid-framework简介:

一个类似 ruby on rails 的java web快速开发脚手架,本着不重复发明轮子的原则,框架只是将零散的struts(struts2)+spring+hibernate各个组件组装好在一起,并对struts及struts2进行改造,提供零配置编程,并内置一个强大的代码生成器及模板文件, 可以生成java的hibernat model,dao,manager,struts+struts2 action类,可以生成jsp的增删改查及列表页面

修心猿
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sql-builder:Java语言的动态SQL构建器
01-28
SQL生成器 Java语言的动态SQL构建器。 例子 一些用法示例:选择 QueryBuilder query = new QueryBuilder () . select() .column( " s.name " ) .column( " count(s.impediments) AS total_impediments " ) .from() .table( " sprint s " ) .groupBy() .column( " s.name " )
wpf ui框架_RapidCAX 开源UI框架
weixin_39517902的博客
12-12 1480
微信公众号:AnyCAD专注打造新一代图形平台,助每一个工业软件成功!RapidCAX UI框架从零开始搭建CAD/CAE/CAM的UI框架是一件繁琐的事情:需要选组件、集成组件以及各种配置。若集成不顺利的话,还需要各种百度、谷歌……为了实现快速搭建一个CAX项目的目标,节省开发人员的宝贵时间,我们搭建了基于WPF的RapidCAX UI框架,集成了Fluent Ribbon、Avalo...
MyBatis Generator配置详细解读
qq_44719515的博客
05-19 549
1、 xml详细配置 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE generatorConfiguration PUBLIC "-//mybatis.org//DTD MyBatis Generator Configuration 1.0//EN" "http://mybatis.org/dtd/mybatis-generator-config_1_0.dtd"> <!-- 配置生成器 --> <genera
MyBatis进阶——高级使用2
qq_39308401的博客
09-20 335
第二节:动态sql 通过mybatis提供的各种标签方法实现动态拼接sql。 需求:根据性别和名字查询用户 查询sql: SELECT id, username, birthday, sex, address FROM user WHERE sex = 1 AND username LIKE '%张%'; 2.1. If标签 2.1.1. Mapper.xml文件 UserMapper.xml配...
Android orm mysql_[Android]Android端ORM框架——RapidORM(v1.0)
weixin_33054847的博客
02-06 101
以下内容为原创,欢迎转载,转载请注明Android上主流的ORM框架有很多,常用的有ORMLite、GreenDao等。ORMLite:-优点:API很友好,使用比较方便简单稳定,相关功能比较完整。-缺点:内部使用反射实现,性能并不是很好。GreenDao:-优点:性能很不错,-缺点:API却不太友好,而且不支持复合主键,主键必须要有并且必须是long或者Long。持久类可以用它提供的模版生成,但...
rapid-framework
老中医
11-12 126
http://code.google.com/p/rapid-framework/wiki/menu?tm=6
动态 SQL
m0_52861684的博客
11-14 4675
本篇带你学习 MyBatis 动态 SQL 操作,条件查询、更新以及复杂查询。
结构化查询语言之 SQL 查询基本结构(以 MySQL 为例)
qq_44992559的博客
04-09 2047
文章目录1. SQL 查询的基本结构构成2. SQL 查询3. 例子:列出教师的名字及其所讲授课程的名称 1. SQL 查询的基本结构构成 SQL 查询的基本结构由三个子句构成:select、from、where select子句用于列出查询结果中所需要的属性; from子句是一个查询求值中需要访问的关系列表(查询的输入); where子句是一个作用在from子句中关系的属性上的谓词; 2. SQL 查询 单关系查询 形式:select A from r; 去重需添加distinct关键字:
使用SqlCommandBuilder动态生成SQL语句,实现增删改
llwzjf的专栏
12-31 449
使用SqlCommandBuilder动态生成SQL语句时,并加上事务处理,可实现增、删、改。
动态构造二维数组的结构
qq_58125181的博客
07-24 209
我们可以使用指针数组和二级指针遍历二维数组,还可以用这种方法构造动态的二维数组,也就是根据需要完全使用动态内存分配的方法来构造一个类似于二维数组的结构,此结构可以用二维数组的访问方法处理数据。根据输入行,列值的大小,动态构造一个可以代替二维的数组的结构,程序所说的"数组"是用malloc()分配的连续空间,类似于数组,并非真正的数组,...
破解RapidSQL v7.50 步骤
03-06
博文链接:https://jnb.iteye.com/blog/175215
关于spring整合mybaties的一些细节问题
12-01
spring+springmvc+mybaties在现在的开发中用到的很多,关于spring和mybaties之间的整合,网上也有很多,但是不同的人整合的方式不同。此资源是本人在开发过程中对一些整合方式之前细小区别的说明 ,仅代表个人意见!
Python 实现数据库(SQL)更新脚本的生成方法
09-21
当我们需要准备更新脚本的使用,不小心会忘记改动了哪里,所以小编试着用Python来实现自动的生成更新脚本,具体操作方法,大家参考下本文吧
动态构造sql利器rapid-xsqlbuider
05-30
有喜欢做代码生成器的朋友们,可以下载,这个文档是本人自己在学习过程中总结的,送给喜欢的朋友们!
Microsoft SQL Server 2008技术内幕:T-SQL查询_源代码及附录.zip
09-08
《Microsoft SQL Server 2008技术内幕:T-SQL查询》一书的源代码及附录A内容。确信可下载,真实有效的内容
SQLSQL-92,SQL-99和SQL-2003的BNF语法
01-30
SQLSQL-92,SQL-99和SQL-2003的BNF语法
Microsoft SQL Server 2008技术内幕:T-SQL查询.pdf
08-09
Microsoft SQL Server 2008技术内幕:T-SQL查询
Microsoft SQL Server 2008技术内幕:T-SQL语言基础 示例数据库
01-25
Microsoft SQL Server 2008技术内幕:T-SQL语言基础的示例数据库无法再国外的网址上下载,这个是已经下载好的
2019最新Android常用开源库总结(附带github链接)
kongT。的博客
09-27 799
转载brave-sailor大神的笔记,自己记录一份,便于查阅 前言 收集了一些比较常见的开源库,特此记录(已收录350+)。另外,本文将持续更新,大家有关于Android 优秀的开源库,也可以在下面留言。 一 、基本控件 1.TextView HTextView一款支持TextView文字动画效果的Android组件库。 ScrollNumber滚动数字控件 ticker滚动数字控件 ReadMoreTextView阅读更多,折叠文本 ExpandableTextView折叠文...
PL/SQL: ORA-00933: SQL command not properly ended
最新发布
01-31
PL/SQL: ORA-00933: SQL command not properly ended 是一个Oracle数据库错误,表示SQL命令没有正确结束。这个错误通常发生在SQL语句的末尾缺少分号的情况下。 以下是一个示例,演示了如何解决这个错误: ```sql -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值