jdbc 的PreparedStatement工具

阅读更多

    动机：
    这里不讨论JDBC之外的东西，这里仅假定选用JDBC。
    如果用Statement进行数据库操作，要自已进行SQL防注入处理；
    如果用PreparedStatement，虽然可以防注入，但是当在拼接条件时，如果条件变动或有字段变动，按默认的处理方式，则需要人工肉眼去注意占位符的前后顺序，容易出错。 因此有了以下工具。

    思路：
    仿 Delphi中的SQL字符串预处理，引入以”：r"开始的占位关键字段。例：
     select * from man where no=:rno and name like :rname
    用户写入如上类似的SQL语句，然后为“rno"、“rname”指定参数值，然后直接使用即可。

    优点：
    1、动态拼接时，参数的位置可以任意鸾化，SQL语句的参数可以动态增减
    2、天然防SQL注入
    3、对于动态的SQL拼接的要求限制很少，但又几乎没损SQL的功能。 唯一要求就是 SQL语句中的参数必须是 “:r"或“:R"开始 空格结束。
    4、用户按普通字符串，按自已的目的与SQL语法要求，动态拼接即可。 凡时要用到参数的地方，以":r"开始 空格结束 命名参数即可。例：
    update man  set name = :rname  where no=:rno


    缺点：
    1、增加了对SQL语句的处理，理论上性能会有所下降。
    2、为了简单方便，在封装时在对PreparedStatement指定参数时，使用了
setObject方法。有可能会带来性能上的微小下降。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.logging.Level;
import java.util.logging.Logger;
import org.junit.Test;

 public class PreparedStatementTool {
    
    protected static final Logger loger=Logger.getLogger(PreparedStatementTool.class.getName());
    
    public static class ParamMap{
        //主存储体,Key为占位字段，value为其值
        private HashMap map;
        //在产生PreparedStatement所需sqlL字符串时，Key为占位字段的生成顺序，值为占位字段
        private ArrayList indexs;
        
        public void put(String key,String value){
            if(map==null) map=new HashMap();
            map.put(key, value);
        }
        public void clear(){
            if (map !=null) map.clear();
            if(indexs!=null) indexs.clear();            
        }
        
        public String get(String key){
            if(map!=null) return map.get(key);
            return null;
        }
        
        public int getSize(){
            if(indexs!=null) return indexs.size();
            return 0;
        }
         
         public String get(int i){      
            if(indexs==null) return null;
            String key=indexs.get(i); 
            if (key==null || key.equals("")) return null;
            if(map!=null  ) return map.get(key);
            return null;
         }
         
         protected void setIndex(String key){
             if(map==null) return ;
             if(indexs==null) indexs=new ArrayList();
             indexs.add(key);
         }
         
     
    }
    
    public static ParamMap getParamMapInstance(){
        return new ParamMap();
    }
    
    public static boolean isDelimiter(char c){
        if(Character.isWhitespace(c) ){
            return true;
        }
    
        return false;
     }

     public static  String getSql(String presql,ParamMap paraemeters){       
        StringBuilder sb=new StringBuilder();
        StringBuilder old=new StringBuilder(presql);
        StringBuilder temp=new StringBuilder();
        boolean r=false,colon=false;
        for(int i=0;i0){
                r=false;colon=false;                
                paraemeters.setIndex(temp.toString());
                sb.append('?').append(c);
                temp.delete(0, temp.length());
            } else if( isDelimiter(c)  && temp.length()<=0){
                 r=false;colon=false;
                 sb.append(c);
            }  else  if(Character.toUpperCase(c)==':'){
                colon=true;//如果是空格后第一个是冒号
            }else if(Character.toUpperCase(c)=='R'  &&  colon){
                colon=false;
                r=true;//如果空格后是冒号且是R开头的(不会大小写）
                temp.append(c);
            } else if(r){
                temp.append(c);
            } else {
                sb.append(c);
            }
        }
        if(r){                
            paraemeters.setIndex(temp.toString());
            sb.append('?');
        }
        return sb.toString();
    }

     public static PreparedStatement getPreparedStatement(Connection cnn,String preSql,
             ParamMap paraemeters) throws SQLException 
     {
            
            String str=getSql(preSql,paraemeters);   
            loger.log(Level.INFO, str);
            PreparedStatement preState = cnn.prepareStatement(str);   
            StringBuilder sb=new StringBuilder("paraemeters is:  ");          
            for(int i=0;i 
 
 
 
 
 
 
 
完毕