我正在用 Java 为我的 Tomcat 服务器应用程序编写一个 DAO 层,
我希望使用 Prepared Statement 包装我的查询(1. 解析一次查询,2. 防御 SQL 注入), 我的数据库设计包含每个数据源系统的 MyISAM 表。而且大多数通过 DBO 的查询都是使用不同的表名作为参数的选择。
其中一些表可能是即时创建的。
我已经浏览了许多解释我可能不会使用表名作为 Prepared 语句的参数的帖子。
我找到了建议使用某种类型的函数(例如 mysql_real_escape_string)的解决方案,这些函数可以处理此参数并将结果作为字符串附加到查询中,
是否有任何内置的 Jave 库函数可以以最佳优化方式执行此操作,或者您可能建议在 DAO 层中执行其他操作(我不喜欢将任何例程添加到它自己的 DB 中) ?
【问题讨论】:
标签: java mysql prepared-statement dao tablename
您可以对表名应用限制吗?这可能比引用更容易。例如,如果您可以说所有表名都必须匹配 [0-9A-Za-z_]+ 的正则表达式,那么我认为您不需要任何引用。如果您需要空格,您可以使用`table name` 来避免总是 - 但同样,不必担心“完整”引用。
限制可用的东西通常比处理所有可能性要简单得多:)
【讨论】:
PreparedStatement,当每次都有不同的表时,它会被解析一次。除了其他任何事情,准备好的语句的部分好处是缓存的查询计划,当您更改表时这将没有意义。
[...])来分隔“非标准”架构元素名称
SHOW TABLES WHERE tables = ? 并使用提供的表名调用它以检查它是否真的存在。 (WHERE 条件可能需要更正,因为我现在手头没有 mysql)。
如果您想更加安全,可以准备一个查询并使用提供的表名调用它以检查它是否真的存在:
PreparedStatement ps = conn.prepareStatement("SHOW TABLES WHERE tables = ?");
ps.setString(1, nameToCheck);
if(!ps.executeQuery().next())
throw new RuntimeException("Illegal table name: " + nameToCheck);
(WHERE 条件可能需要一些修正,因为我现在手头没有 mysql)。
【讨论】:
information_schema 更好,因为它更便携——应该适用于任何 ANSI SQL 兼容的 DBMS。但请记住,例如PostgreSQL 实现了模式/模式,所以你应该在WHERE 子句中再添加一个AND 以避免匹配相邻模式中的表。