带有复选框的Java MYSQL选择[重复]

【问题标题】:Java MYSQL select with checkbox [duplicate]带有复选框的Java MYSQL选择[重复]
【发布时间】:2012-12-01 07:03:09
【问题描述】:

可能重复:
PreparedStatement IN clause alternatives?

我想根据复选框选择从 MYSQL 中进行选择。 (复选框有 ID,从数据库中选择应该选择 where ID= ? -> 选择的 ID)

我用 MVC 架构来组织它:

  • 在jsp中是我的表单(是动态的,所以可以有更多)

      <input type="checkbox" name="checkboxes" value="1">XY
  <input type="checkbox" name="checkboxes" value="2">XY
  <input type="checkbox" name="checkboxes" value="3">XY

  • 在 servlet 中我得到值

      String[] catids  = request.getParameterValues("checkboxes");

  //Forward to bean -> doesnt work because catids is like an array
  FrageBean f=FragenBean.getRandomQuestionByCategory(catids);

  • 我的豆子是:

    public static FrageBean getRandomQuestionByCategory(String catids) {
ArrayList<Integer> alleFragenIds = new ArrayList<Integer>();

DatabaseMetaData dbmd;
Statement sql;
Connection db = null;


try {
    Class.forName("com.mysql.jdbc.Driver");
} catch (ClassNotFoundException ex) {
    System.out.println("driver not found");
}
try {
    db = DriverManager
            .getConnection("jdbc:mysql://localhost:3306/xyz?"
            + "user=root&password=xyz");
    dbmd = db.getMetaData();

    System.out.println("Connected with: " + dbmd.getUserName() + " | "
            + "Connection to: " + dbmd.getDatabaseProductName() + " " + dbmd.getDatabaseProductVersion() + " successful.\n");
    sql = db.createStatement();
} catch (SQLException ex) {
    System.out.println("Error: " + ex);
}

try {

    String query = "select id from quest where quest_id=?";
    PreparedStatement prest = db.prepareStatement( query);

    prest.setString(1, catids);


    ResultSet rs = prest.executeQuery();
    ArrayList fragenliste = new ArrayList();
    while (rs.next()) {
        int fragenid = rs.getInt("id");
        alleFragenIds.add(fragenid);

    }

    rs.close();
    db.close();


} catch (SQLException ex) {
    System.out.println("Error: " + ex);
}

Random r = new Random();
int frageIndex = r.nextInt(alleFragenIds.size());
 System.out.println("Contents of al: " + alleFragenIds);
return new FrageBean(alleFragenIds.get(frageIndex));

}

目前它只对一个 id 有效(因为我只有一个选择)。我怎样才能用复选框做到这一点?如何将“catids”转发到 bean 并创建 mysql-query 动态? (从 fragen 中选择 id,其中 kategorie_id= [ALL CHECKED BOXES])

提前致谢!!!!

【问题讨论】:

标签: java mysql jsp servlets javabeans


【解决方案1】:

@RaisAlam 的回答很危险,因为它容易受到 SQL 注入的影响。这是一个固定版本:

public  void displayRecords(String[] catids) {
    try {
        String queryStart = "select id from quest where quest_id in ( ";
        String queryMiddle = "";
        String prefix = "";
        String queryEnd = " )";
        String query = "";

        if (catids != null && catids.length > 0) {
            for (String id : catids) {
                queryMiddle = queryMiddle + prefix + "?";
                prefix = ",";
            }
            query = queryStart + queryMiddle + queryEnd;
            System.out.println(query);
            Class.forName(....);
            Connection conn = DriverManager.getConnection(....);
            PreparedStatement stmt = conn.createPreparedStatement(query);
            int i = 1;
            for (String id : catids) {
                stmt.setInt(i++, Integer.parseInt(id));
            }
            ResultSet rs = stmt.executeQuery(query);
            while (rs.next()) {
                int fragenid = rs.getInt("id");
                System.out.println("ID = " + fragenid);
            }
        }
    } catch (Exception e) {
        e.printStackTrace();
    }
}

为每个参数使用带有占位符的 PreparedStatement 是避免 SQL 注入的“最佳实践”方式。

【讨论】:

  • 非常感谢!我的另一个问题是,将 servlet 中的 catids 提供给 bean:“FrageBean f=FragenBean.getRandomQuestionByCategory(catids);”如何将 String[] 变量提供给我的 bean?谢谢
  • 为什么不将getRandomQuestionByCategory的形参声明为数组呢?
【解决方案2】:

在您的班级中创建以下方法。放置正确的驱动程序类和 url 连接,并将 catids 作为字符串数组传递。

假设:我假设列 "quest_id" 是表 quest 中的 int 类型。

 public  void displayRecords(String[] catids)
{
    try
    {

        String queryStart = "select id from quest where quest_id in ( ";
        String queryMiddle = "";
        String prefix = "";
        String queryEnd = " )";
        String query = "";

        if (catids != null && catids.length > 0)
        {
            for (String id : catids)
            {
                queryMiddle = queryMiddle + prefix + id;
                prefix = ",";
            }

            query = queryStart + queryMiddle + queryEnd;
            System.out.println(query);

            Class.forName("DriverClass....................");
            Connection conn = DriverManager.getConnection("connection url ..................");
            Statement stmt = conn.createStatement();
            ResultSet rs = stmt.executeQuery(query);

            while (rs.next())
            {
                int fragenid = rs.getInt("id");
                System.out.println("ID = " + fragenid);
            }
        }
    }
    catch (Exception e)
    {
        e.printStackTrace();
    }
}

【讨论】:

  • 非常感谢!我的另一个问题是,将 servlet 中的 catids 提供给 bean:“FrageBean f=FragenBean.getRandomQuestionByCategory(catids);”如何将 String[] 变量提供给我的 bean?谢谢
  • 这实际上是一个危险的答案。想想“SQL 注入”!!!
  • @StephenC = 如果您使用的是 java.sql.Sament,那么您是对的,那么它很容易受到 sql 注入的攻击。在将输入发送到数据库之前,您需要注意并验证您的输入。但它需要一些时间,这是因为 sunmicrosystem 尚未弃用此接口的原因。谢谢
  • @user1880437 请详细描述问题。我无法理解您的下一个问题。
  • @RaisAlam - 1) 如果您在验证输入时非常小心,则可以安全地使用 Statement(带参数),但使用 @987654322 更简单(并且暗示更安全) @。 2) Statement 不被弃用的原因是它有很多非常安全的用例。但这不是这些用例之一。
猜你喜欢
  • 1970-01-01
  • 2020-10-17
  • 1970-01-01
  • 2023-04-02
  • 2018-10-19
  • 2021-06-24
  • 2013-09-30
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode