mi wytłumaczyć ...Jak wypełnić kwerendę sql wieloma opcjonalnymi parametrami w PreparedStatement?
Mam formularz z wypełnienia zapytania (np.):
SELECT *
FROM table
WHERE id=? AND name=? AND sex=? AND year=? AND class=?
ale tylko „id” jest obowiązkowe, wszystkie inne parametry są opcjonalne. Jak mogę wypełnić (lub odtworzyć) instrukcję przedwzmacniacza dla tego zapytania?
Musisz użyć wielu przygotowanych instrukcji lub po prostu utworzyć instrukcję w locie, sprawdzając jakie masz parametry.
Jak to:
String query = "SELECT * FROM table WHERE id=?";
if(nameParameter != null) {
query += " AND name=?"; //don't never ever directly add the value here
}
...
Aktualizacja/Ostrzeżenie: Nie bezpośrednio dodać wartości parametrów do ciągu kwerendy, ale używać PreparedStatement itp zamiast. Jak pokazano powyżej, ciąg kwerendy powinien zawierać tylko symbole zastępcze dla wartości (np. ?), aby zapobiec atakom iniekcyjnym SQL.
Chodzi mi o to, nie rób następujące:
if(nameParameter != null) {
//NEVER EVER, REALLY I MEAN IT, DON'T DO THIS
query += " AND name='" + nameParameter + "'";
}
TKS ... to droga, która kiedyś, wydaje się, że „najczystszych” sposób –
wiem, że istnieją ramy out tam do dynamicznego generowania zapytań, ale wydaje się to najlepszym rozwiązaniem w wielu przypadkach. +1 –
, ale to podejście jest podatne na ataki typu sql injection. – aishu