Wildcards in Java PreparedStatements

Hier ist meine aktuelle SQL-Anweisung:

SEARCH_ALBUMS_SQL = "SELECT * FROM albums WHERE title LIKE ? OR artist LIKE ?;";

Er zurückkehrte, exakte übereinstimmungen zu den album-oder Künstlernamen, aber nichts anderes. Ich kann nicht mit einem '%' in der Anweisung oder bekomme ich Fehler.

Wie füge ich Sie Platzhalterzeichen, um eine vorbereitete Anweisung?

(Ich bin mit Java5 und MySQL)

Dank!

InformationsquelleAutor Eric Noob | 2008-11-29
  1. 18

    Setzen Sie die % in der gebundenen variable. So müssen Sie

       stmt.setString(1, "%" + likeSanitize(title) + "%");
   stmt.setString(2, "%" + likeSanitize(artist) + "%");

    Sollten Sie ESCAPE '!' Ihnen zu erlauben, die spezielle escape-Zeichen, die Angelegenheit zu WIE in die Sie Eingaben.

    Bevor mit Titel oder Künstler sollten Sie desinfizieren Sie Sie (wie oben gezeigt) durch die Flucht Sonderzeichen (!, %, _, und [) mit einer Methode wie diese:

    public static String likeSanitize(String input) {
    return input
       .replace("!", "!!")
       .replace("%", "!%")
       .replace("_", "!_")
       .replace("[", "![");
}
    • Also, was ist, wenn die gebundene variable tatsächlich hatte ein ' % ' - Zeichen enthält?
    • Dann brauchen Sie nicht, um es hinzuzufügen. Es gibt nichts Magisches, es zu tun in der setString eher als irgendwo sonst.
    • Wenn die gebundene variable hat einen literal '%' Sie entweichen sollte es als '\%'. Siehe Java-Methode java.lang.String.ersetzen().
    • der backslash ist nicht dokumentiert, als ein escape-Zeichen für diesen Zweck. Wenn Sie ESCAPE '!' und ersetzen Sie % mit !%, _ mit !_ und [ mit ![ es sollte vor allem Milderung der SQL-injection-Gefahr hier.
    • mein Fehler. OP sagte, MySQL standardmäßig ESCAPE-backslash, damit hast du vollkommen Recht. Immer noch gut zu sein, explizit für Portabilität: Postgres-und MySQL-Stimmen hier, aber Transact SQL-docs sind leise auf den Standardwert zurückgesetzt.
    • Ich bin nicht einverstanden mit der Bearbeitung. Sie müssen nicht zu bereinigen, die Eingang in eine gebundene variable.
    • die gebundene variable wird selbst interpretiert als eine Mischung von Daten und Steueranweisungen. Versuchen Sie, diese mit einer Benutzer-Eingabe mit einem % und sehen, ob es wie erwartet funktioniert. Ich möchte mein Programm in übereinstimmung der Inhalte mit % in der es, statt zuzulassen, dass der Benutzer die mitgelieferte % behandelt werden als wild-Karte. Macht das Sinn?
    • Was ist mit den anderen Ersatz? Sind _ behandelt, als etwas anderes als eine wörtliche _?
    • nach ESCAPE '!' angegeben ist, dann wird ! wird zu einem besonderen Charakter. Ich fügte hinzu, [ im Falle es läuft auf einem Transact-SQL-engine (T-SQL) verwendet, dass zu Beginn eine Charakter-Klasse. Im Nachhinein, dass sich der Umfang seit der OP ist die Zielsetzung für MySQL explizit.
    • ist ein einzelnes Zeichen als Platzhalter.

    InformationsquelleAutor Paul Tomblin
Schreibe einen Kommentar