HongSoft(26929885) 16:51:26
String sql = "SELECT * FROM resource_files where fileform=?";
Connection conn = null; PreparedStatement stmt = null;
try {
if (sql != null && sql.indexOf(T_CORE_USER) >= 0)
conn = DBFactory.getDBTCoreUser().getConn();
else
conn = getConn();
stmt = conn.prepareStatement(sql);
stmt.setString(1,"jpg");
ResultSet srs=stmt.executeQuery(sql);
做一个测试,连这个都不成功,大家瞄一下,有什么问题?
HongSoft(26929885) 16:51:56
Exception in thread "main" java.sql.SQLException: Syntax error or access violation: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '?' at line 1
壮士(455196) 16:51:12
看起来似乎没问题
HongSoft(26929885) 16:54:33
是啊,就在同一个函数里面,用
String sql = "SELECT * FROM resource_files where fileform='"+"jpg"+"'";
就成功了
cyt(53238) 16:52:04
mysql没有 ?的吧?
HongSoft(26929885) 16:54:47
?真的没有?
壮士(455196) 16:52:22
这个和驱动有关系
cyt(53238) 16:52:44
mysql 本身就一定没有,驱动嘛,就不清楚了
jackyrong(1809772) 16:52:47
mysql里用不了?这样的,的确
美了巴滋儿(37263) 16:52:48
对,跟驱动程序有关
壮士(455196) 16:52:49
正常情况下,?是会被替换成'JPG'的
jackyrong(1809772) 16:53:18
哦?有可以的驱动?
壮士(455196) 16:53:15
?是preparedstatement的一个预置符号而已啊
HongSoft(26929885) 16:56:11
mysql不能用preparedstatement吗?难道?
壮士(455196) 16:53:58
。。。怎么可能,你换个驱动试试
cyt(53238) 16:53:59
至少我自己写的是用 :param这种形式,不是?的。
mysql 没有preparestatement的
壮士(455196) 16:54:06
java ?
HongSoft(26929885) 16:56:42
对
壮士(455196) 16:54:12
jdbc都是用?的啊
cyt(53238) 16:54:15
不信你找找mysql api
美了巴滋儿(37263) 16:54:40
这根mysql api没关系。。。
壮士(455196) 16:54:45
是啊。。
cyt(53238) 16:55:13
jdbc也要依靠mysql api的
jackyrong(1809772) 16:55:55
用MYSQL的传统驱动,以前试过的确不行
cyt(53238) 16:56:31
要自己做一些额外的parse的
HongSoft(26929885) 17:00:03
我的driver的版本够高了,。。。
HongSoft(26929885) 17:00:24
怎么mysql连这个都不支持啊?我searhc一下。。
cyt(53238) 17:00:04
100个放心,mysql一定是不支持的,以后的版本就难说,呵呵。driver就要选了,你问问壮士现在用的是什么driver?
HongSoft(26929885) 17:05:06
壮士应该现在不是用的
ysql
HongSoft(26929885) 17:05:45
我以前大都用的oracle,难怪现在的系统不用preperastatmet,原来mysql不支持。。。
HongSoft(26929885) 17:06:08
害我测了半天rowset / resultset的性能比较。。
HongSoft(26929885) 17:08:20
发现一个问题: getConn在有cp的情况下,1ms都不需要。很快。
cyt(53238) 17:07:34
其实慢就是慢在socket的connect的时候,要域名解释和3次握手
cyt(53238) 17:08:20
所以一般连接池效率这方面效率不会差很远,倒是里面的连接策略会在其他方面有些影响
HongSoft(26929885) 17:12:12
的确是的。所以,我们的系统是一个usecase用了多个连接(当然,是不考虑事务的情况下)
HongSoft(26929885) 17:12:32
多次connec(),好象也挺快的
HongSoft(26929885) 17:13:11
因为用的rowset,所以connect也很快relaese了,也不会对连接数产生影响
cyt(53238) 17:11:41
不过rowset好像也不是所有数据库支持吧?
HongSoft(26929885) 17:15:06
是吗?应该是jdbc2.0后才有的
cyt(53238) 17:13:26
我也不清楚,呵呵,哪个高手出来解释一下
HongSoft(26929885) 17:17:03
然后我就看了一下,rowset的所谓的断接的特性,好象用处并不太大
david.turing(10508778) 17:14:35
sql.rowset不是JDK的SPI来的吗?谁敢不支持?
HongSoft(26929885) 17:18:19
以前是没有的
HongSoft(26929885) 17:18:52
后来成了SPI,SUN也做了一个实现
david.turing(10508778) 17:17:52
哦,你连前因后果都知道
HongSoft(26929885) 17:21:08
只是了解
HongSoft(26929885) 17:21:31
为什么说断接的特性用处不大呢?
HongSoft(26929885) 17:21:39
是有原因的
HongSoft(26929885) 17:22:22
这里先插一句: POEAA里面提到了rowset,说对我们的架构模式能产生很大的影响。。
HongSoft(26929885) 17:24:27
如果要用断接特性:唯一的地方是在select 返回CachedRowSet之后,继续使用它(并且是在conn.close())之后。
HongSoft(26929885) 17:24:55
但这样使用对代码的可读性影响太大了,很丑。
HongSoft(26929885) 17:25:11
其他的update/insert/delete没有什么影响
HongSoft(26929885) 17:26:28
还提一下,用Prestatement可以对系统的性能和安全性产生很大的正面影响。我们的系统就碰到了这样的问题。
HongSoft(26929885) 17:27:30
POEAA里面提到了rowset,我认为它可以非常方便的帮我们使用DDD,但POEAA说的却是TableModel,现在还在不理解之中。
david.turing(10508778) 17:26:40
PrepareStatement有什么安全性问题?
HongSoft(26929885) 17:30:32
我说的是“正面影响”,是指用statemenet会有问题
david.turing(10508778) 17:28:46
同意。
HongSoft(26929885) 17:32:44
我们现在用的mysql,只能用statement,在所有的sql中的string都必须用这个方法进行转化:
HongSoft(26929885) 17:32:52
// 对字符串进行编码,以传入sql语句
public static String encodeToSQLString(String s){
if(s == null)
return null;
return s.replaceAll("\\\\", "\\\\\\\\")
.replaceAll("\r", "\\\\r")
.replaceAll("\n", "\\\\n")
.replaceAll("\t", "\\\\t")
.replaceAll("\b", "\\\\b")
.replaceAll("\\\'", "\\\\\'")
.replaceAll("\\\"", "\\\\\"")
;
}
HongSoft(26929885) 17:33:32
否则别人可以sql inject
一夜没睡好(5315916) 17:31:36
我的操作系统是winxp,office是2003,打开word文档时,其中图片及目录为乱码?不知是什么原因
HongSoft(26929885) 17:34:16
我试的时候,drop掉了一个论坛的数据库
david.turing(10508778) 17:31:48
恩,聪明的方法。
一夜没睡好(5315916) 17:31:59
是不是winxp中不能安装office2003
HongSoft(26929885) 17:34:44
这个方法也是PrepareStatement的方法
HongSoft(26929885) 17:34:55
我们借用它的方法
cyt(53238) 17:32:33
mysql api本身提供一个函数专门做这种转换的,呵呵,不知道转到JDBC里面会怎么样子了
david.turing(10508778) 17:32:57
能share以下这个模块?
HongSoft(26929885) 17:35:40
是吗?你说的api是c级别的API吧?
HongSoft(26929885) 17:35:45
什么模块?
HongSoft(26929885) 17:36:05
method不都有了吗?
david.turing(10508778) 17:33:51
直接insert sql很困难,如果你做了转型。
HongSoft(26929885) 17:36:46
现在做了这个应该是没有问题了:)
david.turing(10508778) 17:34:58
恩,其实没什么的,单用jsp语义可以防止injection的
HongSoft(26929885) 17:37:51
怎么做呢?输入检查?
david.turing(10508778) 17:36:56
将注释嵌入到可能产生SQL的语句,防止产生正确语法sql.
david.turing(10508778) 17:38:20
后台对;进行分析,防止SQL串联。
HongSoft(26929885) 17:42:23
哦
cyt(53238) 17:39:58
unsigned longSTDCALL mysql_escape_string(char *to,const char *from,
unsigned long from_length);
david.turing(10508778) 17:42:09
cyt这个是最简单的了,呵呵~
cyt(53238) 17:42:45
其实JDBC应该提供一个类似的函数才对
cyt(53238) 17:43:04
例如oracle的escape方式和mysql是不一样的
david.turing(10508778) 17:44:07
好主意,不过这个世界上的数据库太多,有几百个。
cyt(53238) 17:44:48
标准嘛,JDBC还不是要照顾到了这几百种数据库
cyt(53238) 17:45:48
意思是ODBC/JDBC的标准里面要增加这一条
david.turing(10508778) 17:46:58
为了sql injection加入一个SPI,hongsoft太有面子了。
cyt(53238) 17:47:33