JDBC的多条件动态查询

最新推荐文章于 2023-06-25 21:24:31 发布
最新推荐文章于 2023-06-25 21:24:31 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: Java 文章标签: jdbc 多条件查询

 

前面我已经提到了现在的项目无非就是列表里的分页加多条件查询,在http://xdwangiflytek.iteye.com/blog/1358080里我已经简单的归纳了一下分页的实现手段和JDBC里的分页,这里我们在来说说JDBC里的多条件动态查询,为什么说多条件,因为在项目列表中,不可能只有只有一个字段,所以说条件也不可能只有一个,所以这里我们还是说一下多条件下的查询,多条件ok了那么单个条件不更ok了么(Hibernate里有Criteria Queries哦)。

首先我们和分页一样先分析一下多条件综合查询的实现方式有哪些?

1、直接将参数值拼接到SQL语句中,然后进行Select,但是说这种方式存在安全性问题,比如说SQL的注入,尽管我们可以通过正则等手段来过滤掉这些特殊字符,但是这样看上去不是很爽。

2、先使用占位符“?”来拼接SQL,然后再通过条件判断去填充PreparedStatement,但是这种方式显然很麻烦,因为我们在拼SQL的时候需要判断一次,在填充pst的时候还需要再进行判断,所以不是好的解决方案。

3、存储过程,这个因为本人对存储过程认识不是很深,所以这里不加描述;

其实方法很多,只是找一个相对好一点的,工作的这段时间做.NET项目时使用里面的SqlHelper感觉很犀利,记得以前学习的时候老师也给我们做了一个类似的,所以想写一个工具类。

 

Parameter.java:

package com.iflytek.page;

/**
 * 查询参数工具类,用于表示条件参数对象
 * 
 * @author xudongwang 2012-1-19
 * 
 *         Email:xdwangiflytek@gmail.com
 */
public class Parameter {
	/**
	 * 数据库字段名
	 */
	private String field;
	/**
	 * 参数值 Object
	 */
	private Object value;
	/**
	 * 数据库操作符 =、>=、<、like...
	 */
	private String operator;

	/**
	 * 构造方法
	 * 
	 * @param field
	 *            数据库字段名
	 * @param operator
	 *            数据库操作符 =、>=、<、like...
	 * @param value
	 *            参数值 Object
	 */
	public Parameter(String field, String operator, Object value) {
		super();
		this.field = field;
		this.value = value;
		this.operator = operator;
	}

	public String getField() {
		return field;
	}

	public Object getValue() {
		return value;
	}

	public String getOperator() {
		return operator;
	}
}

 

 DynamicQuery.java:

package com.iflytek.page;

import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.ArrayList;

/**
 * 动态查询工具类,用于拼接SQL、填充PreparedStatement
 * 
 * @author xudongwang 2012-1-19
 * 
 *         Email:xdwangiflytek@gmail.com
 */
public class DynamicQuery {

	private String templet = " AND %s %s ?";
	private String baseSql;
	private ArrayList<Parameter> parameters = new ArrayList<Parameter>();

	public DynamicQuery() {

	}

	/**
	 * baseSql需要带有where条件
	 * 
	 * @param baseSql
	 */
	public void setBaseSql(String baseSql) {
		this.baseSql = baseSql;
	}

	public void addParameter(Parameter parameter) {
		parameters.add(parameter);
	}

	public String generateSql() {
		StringBuffer sb = new StringBuffer(baseSql);
		for (Parameter parameter : parameters) {
			sb.append(String.format(templet, parameter.getField(),
					parameter.getOperator()));
		}
		return sb.toString();
	}

	public void fillPreparedStatement(PreparedStatement pst)
			throws SQLException {
		int count = 1;
		for (Parameter p : parameters) {
			// 这里使用SetObjcet的缺点是失去了类型的验证功能,如果大家不嫌麻烦,可以判断,根据类型,set不同的类型
			pst.setObject(count, p.getValue());
			count++;
		}
	}

}

 

 SelectServlet.java:

	DynamicQuery query = new DynamicQuery();
		query.addParameter(new Parameter("name", "like", "xudongwang"));
		query.addParameter(new Parameter("email", "=", "xdwangiflytek@gmail.com"));
		StudentDao studentDao = new StudentDao();
		List<Stduent> students = studentDao.selectByQuery(query);
		request.setAttribute("students", students);

 

StduentDao.java:

public List<Student> selectByQuery(DynamicQuery query) {  
        
        List<Student> students = new ArrayList<Student>();  
  
        try {  
            String sql = "SELECT id,name,email FROM tbl_stduent";  
  
            query.setBaseSql(sql);  
            //如果想排序,自行在sql后添加  
            sql = query.generateSql();
            Connection conn = null;  
            try {  
                conn = DbUtil.getConnection();  
                PreparedStatement pst= conn.prepareStatement(sql);  
              //填充pst  
                query.fillPreparedStatement(pst);
                ResultSet rs = pst.executeQuery();  
                while (rs.next()) {  
                    Student student = new Student();  
                    ……  
                    students.add(student);  
                }  
                rs.close();  
                pst.close();  
            } finally {  
                if (conn != null) {  
                    conn.close();  
                }  
            }  
        } catch (Exception e) {  
            e.printStackTrace();  
        }  
        return students;  
    }
 

 

下面来总结一下上面的整个流程:

 1、 首先我们在ServletAction等控制器里将需要查询的表单参数值添加到查询条件列表中;

 2、 在数据访问层DAO中设置基本的SQL

 3、 下面我们来迭代查询条件列表,使用占位符拼接SQL

 4、 DAO中拿SQL创建PreparedStatement

 5、 迭代查询条件列表,为pst填充值;

 6、 接下来,没有特殊(是否添加排序)的地方了,就是正常的executeQuerywhile(rs.next()){...}

Ok88.

 

 

xdwangiflytek
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java中JDBC实现动态查询的实例详解
08-30
从多个查询条件中随机选择若干个组合成一个DQL语句进行查询,这一过程叫做动态查询。下面通过实例代码给大家讲解JDBC实现动态查询的方法,需要的朋友参考下吧
MyBatis基础应用(二)——使用动态sql实现多条件查询
路漫漫其修远兮,吾将上下而求索。小手点一波关注进阶的李仙桎,我们一起携手进步,
05-10 1399
MyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其他类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句有多么痛苦。拼接的时候要确保不能忘了必要的空格,还要注意省掉列名列表最后的逗号。利用动态 SQL 这一特性可以彻底摆脱这种痛苦。通常使用动态 SQL 不可能是独立的一部分,MyBatis 当然使用一种强大的动态 SQL 语言来改进这种情形,这种语言可以被用在任意的 SQL 映射语句中。
jdbc动态条件查询防止sql注入的解决方案
devnn的专栏
01-05 4627
问题场景:这里的动态查询是指,select语句的某一个或多个查询条件是这种情况:不限或指定值。不限就是这个条件要去掉,指定值就是这个条件必须要。比如你会看到买房子的网站的查询选项是这样的: 地区:不限或北京、上海、…。(下拉选项) 类型:不限或二手房或新房。(下拉选项) 户型:不限或三室一厅、三室二厅、二室一厅、…。(下拉选项) 也可能还有更多的条件。分析:如果地区条件用户选不限,sql查询的whe
JDBC PreparedStatement 预编译语句 动态添加条件-SQL参数不定
weixin_34117522的博客
05-26 762
2019独角兽企业重金招聘Python工程师标准>>> ...
使用jdbc拼接条件查询语句时如何防止sql注入
云端笑猿的博客
04-27 2333
本人微信公众号,欢迎扫码关注! 使用jdbc拼接条件查询语句时如何防止sql注入 最近公司的项目在上线时需要进行安全扫描,但是有几个项目中含有部分老代码,操作数据库时使用的是jdbc,并且竟然好多都是拼接的SQL语句,真是令人抓狂。 在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思...
MyBatis 多条件查询动态SQL、多表操作、注解开发,应有尽有,一网打尽!
Java技术栈,分享最主流的Java技术
09-15 201
点击关注公众号,Java干货及时送达来源:iyu77.blog.csdn.net/article/details/125761737MyBatis封装了JDBC通过Mapper代理的方式,以前繁琐的操作通过“属性与字段映射”就简单化解,MyBatis的动态SQL完美展现了DBMS的独特魅力。一、多条件查询基于Mybatis的多条件查询,是在Mapper代理的映射文件中写上原有的SQL,然后接口中写...
使用PreparedStatement 动态拼装like 条件
王佳楠的专栏
04-13 1320
在使用java PreparedStatement 时,执行拼装的sql总是报错 1、错误的sql拼装: // 拼装修改记录查询条件 if(changeRecord != null && !"".equals(changeRecord)){ changeRecord = URLDecoder.decode(changeRecord, "utf-8"); whereSql.app
转载:基于JDBC的多条件动态查询实现
GoogleMaker的博客
03-13 970
基于JDBC的多条件动态查询实现 JDBCSQLDAOOracleHibernate 转载自:https://www.iteye.com/blog/lixor-765217 感谢 id:yvfish 大神 在Web开发中,多种条件的综合查询非常常见,应对这种业务需求我们通常使用下面几种方法来实现: PS: i.(Hibernate的条件查询Criteria Querie...
动态条件查询的几种方式
qq_45600559的博客
06-25 876
​ 在上面的示例中,我们使用getMapper()方法来获取一个CustomerMapper对象,并调用它的getCustomersByCity()方法来执行查询。​ 在上面的示例中,我们创建了一个名为stmt的PreparedStatement对象,并设置了第一个占位符的值为city变量的值,第二个占位符的值为NULL。​ 在Java程序中,我们可以使用PreparedStatement对象来创建预编译语句,并使用setString()和setNull()方法来设置占位符的值。
MyBatis 多条件查询动态SQL
ybb_ymm的专栏
01-11 1332
MyBatis是一款优秀的orm框架,封装了一些列的最基本crud操作方法。
java配合MyBatis 多条件查询动态SQL
06-16
MyBatis 多条件查询动态SQL 粉丝可见 ybb_ymm 已于 2023-02-02 11:09:17 修改 642 收藏 3 分类专栏: java 文章标签: mybatis sql mysql 编辑 版权 java 专栏收录该内容 104 篇文章2 订阅 背景 MyBatis是一...
Mybatis的综合案例-学生信息查询系统
08-24
详细解释了什么是动态SQL,可以根据不同条件动态构建SQL语句,避免大量重复代码。 介绍了动态SQL常用元素:、、、、、等。 使用动态SQL可以实现高度灵活的数据库交互,适用于复杂业务场景。 可以作为学习动态SQL的参考,...
基于spring-jdbc生态的(No-ORM)DBUtil,常用于动态结构的场景
04-18
基于spring-jdbc生态的(No-ORM)DBUtil,常用于动态结构的场景,如:可视化动态多数据源、低代码后台、物联网车联网数据处理、数据清洗、异构数据库迁移同步、运行时自定义表单/查询条件/数据结构、爬虫数据解析、自定义...
jdbc基础和参考
01-08
1.写一条恒成立的select语句,无论你输入的条件是什么,总是能讲表中的所有数据输出 select id,last_name from s_emp where '1' ='1'; where 1=1; findByOption(Integer age,String province,String gender){ ...
JDBC】使用PreparedStatement进行数据库操作
weixin_41365204的博客
02-04 920
Statement:用于执行静态SQL语句PreparedStatement:SQL语句被预编译在此对象中,可以多次高效的使用这段语句。CallableStatement:用于执行SQL存储过程Statement也会因为Java语言和写法问题产生依赖注入问题,导致查询语句的WHERE条件恒成立。
JDBC实现多条件查询万能解决思路
qq_42951382的博客
09-16 2388
主要思路为: 1.思考所需sql语句,在数据库中运行,尝试,查看返回结果集类型; 2.用StringBuffer类对sql语句根据所需条件进行编辑,并封装相应数据; 3.对编译好的String类型sql语句和封装的数据交给PreparedStatement,封装运行sql 得到结果集 1.确定sql语句 首先我们要先了解的问题是多条件查询所需要的sql语句 举例: select count(1) from table_name where name like '%key%' and ... 然后在数据库运
JDBC条件组合查询
阿莱的专栏
03-03 3334
/** * 多条件组合查询 * @param criteria * @return */ public List query(Customer criteria) { try { /* * 1. 给出sql模板 * 2. 给出参数 * 3. 调用query方法,使用结果集处理器:BeanListHandler */ /* * 一、 给出sql模板 * 二、 给出参数!
jdbc动态sql多条件查询
最新发布
10-18
好的,针对你的问题,可以使用Java中的PreparedStatement来实现动态SQL多条件查询。具体步骤如下: 1. 构造SQL语句,使用占位符(?)代替具体的查询条件,例如: ``` String sql = "SELECT * FROM table_name WHERE ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值