重构之路 组合查询之传递SQL字符串

最新推荐文章于 2024-12-08 11:22:36 发布
原创 最新推荐文章于 2024-12-08 11:22:36 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#实例 #vb.net

本文详细介绍了使用VB.NET语言重构机房收费系统时,如何解决组合查询问题,包括三层架构下的实现方法及SQL注入安全性的讨论。

         既然是使用VB.NET语言对机房收费系统进行重构,那么无可避免的要去解决组合查询的问题,在VB版的实现中这是一个难点,不过大家还是依靠自己或者共同的智慧解决了这个看似复杂的问题。

         如今编程的语言不同是一方面,更重要的是系统的结构不一样了,采用了三层架构去实现系统,这样一来就要考虑组合查询的在三层结构中的实现方法。当然,组合查询的核心办法是不变的,都是通过将查询的各个条件组装成SQL查询语句的where子句来实现的,问题就是这个where子句的组装在哪里完成?

         如果放在U层完成,那么我们向下传递的参数就是SQL语句的字符串了,如果放在D层完成,那么我们就要将U层输入的字段内容,操作符号和查询内容当做参数传到D层,然后在D层完成组装,最后调用SQLHelper中的函数执行SQL语句,将结果返回即可,就这么简单。下面我们先来看传SQL语句字符串的解决方案:

         首先是U层的代码,U层我们主要完成的是将用户输入的内容进行转换和拼接,形成字符串作为参数向下传递。因为用户输入的字段名称和逻辑关系符号都是汉字的形式,而SQL语句中都为英文形式,必须进行转换,考虑到很多窗体都要使用,因此将转换字段名称和逻辑关系符号封装为两个函数,放在U层的模块中,方便调用,具体实现如下:

         ModelUI的两个转换函数:

         

    ''' <summary>
    ''' 该函数的功能主要是将用户输入的汉字形式的字段名转换为英文形式的字段名称,即数据库中对应的字段名称
    ''' </summary>
    ''' <param name="str"></param>
    ''' <returns></returns>
    ''' <remarks></remarks>
    Public Function ConvertField(ByVal str As String) As String
        Dim result As String = ""
        Select Case (str)
            Case "卡号"
                result = "cardID"
            Case "学号"
                result = "studentID"
            Case "姓名"
                result = "studentName"
            Case "性别"
                result = "sex"
            Case "专业"
                result = "major"
            Case "班级"
                result = "classname"
            Case "上机日期"
                result = "onDate"
            Case "机器号"
                result = "computer"
            Case "下机日期"
                result = "offDate"
            Case "消费金额"
                result = "consume"
            Case "用户名"
                result = "userName"
            Case "登录日期"
                result = "loginDate"
            Case "注销日期"
                result = "logoutDate"

        End Select
        Return result

    End Function
    ''' <summary>
    ''' 该函数的主要功能是将用户输入的汉字形式的逻辑关系符号转为SQL语言中的英文形式
    ''' </summary>
    ''' <param name="str"></param>
    ''' <returns></returns>
    ''' <remarks></remarks>
    Public Function ConvertLogic(ByVal str As String) As String
        Dim result As String = ""
        Select Case (str)
            Case "或"
                result = " or "
            Case "与"
                result = " and "
        End Select
        Return result

    End Function

         U层窗体frmStudentInfo的btnQuery的单击事件代码:

         

 Private Sub btnQuery_Click(sender As Object, e As EventArgs) Handles btnQuery.Click
        btnModify.Enabled = True
        Dim mylist As New List(Of Entity.QueryBalanceEntity)
        Dim Bstudent As New BLL.StudentBLL
        Dim sqlstr As String = Nothing

        '拼接sql字符串,完成参数sqlstr的赋值操作
        If comboLogic1.Text.Trim = "" Then
            sqlstr = ConvertField(comboField1.Text.Trim) + comboOperator1.Text.Trim + "'" + txtContent1.Text.Trim + "'"
        Else
            sqlstr = ConvertField(comboField1.Text.Trim) + comboOperator1.Text.Trim + "'" + txtContent1.Text.Trim + "'" _
                + ConvertLogic(comboLogic1.Text.Trim) + ConvertField(comboField2.Text.Trim) + comboOperator2.Text.Trim + "'" + txtContent2.Text.Trim + "'"
            If comboLogic2.Text.Trim <> "" Then
                sqlstr = ConvertField(comboField1.Text.Trim) + comboOperator1.Text.Trim + "'" + txtContent1.Text.Trim + "'" _
                + ConvertLogic(comboLogic2.Text.Trim) + ConvertField(comboField2.Text.Trim) + comboOperator2.Text.Trim + "'" + txtContent2.Text.Trim + "'" _
                + ConvertLogic(comboLogic2.Text.Trim) + ConvertField(comboField3.Text.Trim) + comboOperator3.Text.Trim + "'"+ txtContent3.Text.Trim+"'"
            End If

        End If
        '使用B层的实例对象调用B层的函数完成查询
        mylist = Bstudent.QueryStudent(sqlstr)
        If mylist.Count > 0 Then
            DataGridView1.DataSource = mylist
        Else
            MsgBox("未检索到您需要的信息,请重新确认您输入的信息是否有误", MsgBoxStyle.OkOnly, "提示")
        End If



    End Sub

         B层相应的函数代码:

         

    Public Function QueryStudent(ByVal sqlstr As String) As List(Of Entity.QueryBalanceEntity)
        Dim istudent As IStudent
        Dim fstudent As New SQLServerFactory
        istudent = fstudent.CreateStudent
        Return istudent.QueryStudent(sqlstr)


    End Function

         D层相应的函数代码:

         

    Public Function QueryStudent(ByVal sqlstr As String) As List(Of Entity.QueryBalanceEntity) Implements IStudent.QueryStudent
        Dim studentHelper As New SQLHelper.SQLSeverHelper
        Dim mylist As New List(Of Entity.QueryBalanceEntity)
        Dim mydt As New DataTable
        Dim sql As String = "select * from  V_QueryBalance where " + sqlstr

        mydt = studentHelper.ExecuteSelect(sql, CommandType.Text)
        mylist = Entity.ConvertTo.ConvertToList(Of Entity.QueryBalanceEntity)(mydt)

        Return mylist

    End Function

         至于上述代码中用来执行SQL语句的ExecuteSelect函数和用来将DataTable转为List泛型集合的ConvertToList函数就不在这里赘述了,相信大家都有自己封装的函数,这里我们主要讨论如何在三层结构中实现组合查询的功能。

         最后总结一下这个解决方案,个人觉得这个方法特别简单,也很好理解,传递字符串的想法是我从高迎师姐的博客里看到的,并简化了代码,以自己的形式去重新书写了代码。但是这种方法有一个严重的缺陷,相信了解的人都知道,那就是SQL注入的问题,当然我们可以在输入框中限制用户的输入,从而防止SQl注入问题,但是这样相比较而言,安全性还是差一些,有没有更好的方法呢?         
MyBatis Plus实战指南:告别繁琐的SQL编写
AI天才研究院
06-06 773
本指南深度解析MyBatis Plus(以下简称MP)如何通过「约定优于配置」与「自动化SQL生成」两大核心机制,将传统MyBatis开发中70%以上的重复SQL编写工作转化为标准化接口调用。内容覆盖从基础CRUD到复杂查询的全场景实践,包含架构设计、实现细节、性能优化及工程化最佳实践,帮助开发者从「手写SQL」向「声明式数据操作」转型,同时揭示MP在复杂业务场景中的扩展边界与解决方案。问题类型MP解决方案未解决场景(需结合MyBatis原生能力)基础CRUD SQL编写BaseMapper自动生成。
Scala全栈开发指南:探索高性能应用开发之路
最新发布
AI天才研究院
06-07 412
随着互联网应用对性能(如高并发、低延迟)和可维护性(如快速迭代、团队协作)的要求日益提升,传统单一范式语言(如纯面向对象的Java或纯脚本的JavaScript)逐渐显现局限。Scala作为“融合型语言”,同时支持面向对象(OO)和函数式编程(FP),天然适合构建复杂全栈应用。Scala核心特性与全栈开发的适配性前后端一体化开发的具体实践(Scala.js + Play框架)高性能并发的实现(Akka Actor模型)数据持久化优化(Slick库)真实项目中的落地经验。
SQL字符串传参
darling331的博客
11-19 234
technicianCode in('${techList.collect { it.technicianCode }.join("','")}')
sql传入组合字符串批量操作
weixin_30323631的博客
11-10 147
批量操作时我们可以传入一个有规律的ID或则是其他唯一值字段的组合字符串,然后:select/update/inset......where 字段 in(传入的组合字符串),而且很多时候我们还涉及到其他操作,下面也有代码,就是将传入的组合字符串,重新分割后,再次对数据库进行操作 create proc prc_OrderBatchHandle@Sgin int,@BatchStr varchar...
.netSQL参数传递实现
马如林的IT博客
03-24 2318
参考Petshop 4 设计(http://www.cnblogs.com/Files/ltc31/Microsoft%20.NET%20Pet%20Shop%204.0.rar),本文主要演示的是怎么准备参数传递数据库是Oracle。部分代码如下(用到的其他相关配置参见上篇文档):/**////         /// Execute a select query that will
SQL技巧
leifengchuan的博客
07-21 209
[b]一、一些常见的SQL实践[/b] [b](1)负向条件查询不能使用索引[/b] select * from order where status!=0 and stauts!=1 not in/not exists都不是好习惯 可以优化为in查询: select * from order where status in(2,3) [b](2)前导模糊查询不能使用...
sqlserver存储过程里传字段、传字符串,并返回DataTable、字符串,存储过程调用存储过程。...
dengmei056072的博客
09-23 1157
经常需要查一些信息, 想写视图来返回数据以提高效率,但是用试视图不能传参,只好想到改存储过程。记录一下语法,方便以后做项目时候想不起来了用。 1:传字段返回datatable 2:传字段回一串字符 3: 传字符串返回datable 4:存储过程调用存储过程 --加半个小时(select dateadd(MIN...
sql用于字符串的聚合函数_SQL字符串函数用于数据整理(争用)
culuo4781的博客
07-25 3742
sql用于字符串的聚合函数 In this article, you’ll learn the tips for getting started using SQL string functions for data munging with SQL Server. In many cases, Machine learning outcomes are only as good as th...
SQL查询转换为R表达式
01-27
你只需将SQL查询字符串作为参数传递给该函数,它会连接到指定的数据库并返回查询结果。例如: ```R library(SQLR) connection (RSQLite::SQLite(), dbname = "my_database.sqlite") result <- sqlQuery...
ASP.NET过滤类SqlFilter,防止SQL注入 原创
10-22
此外,完全避免SQL注入的最好方法是不使用字符串拼接的方式来构建SQL语句,而应该使用参数查询的方式,这种方式能够有效地将数据与SQL代码逻辑分离开来,即使用户输入恶意内容也无法影响SQL语句的结构,从而大幅度...
Sqlserver表类型和表名同事传参数据库操作
wzx_it的专栏
07-23 609
自定义表类型如下: CREATE TYPE [dbo].[UdtStatItem] AS TABLE( [ObjCode] [bigint] NULL, [TimeCode] [int] NULL, [Data] [int] NULL ) GO 传过来的是一个DataTable类型  的表跟表类型对应; 存储过程如下 CREATE proc [dbo]
SQL多个字段拼接组合成新字段的常用方法
热门推荐
weixin_45804142的博客
02-23 1万+
SQL多个字段拼接组合成新字段的常用方法分享
如何在SQL中高效拼接字符串?实战教程奉上!
m0_67266585的博客
12-08 2474
数据库中的拼接字段(Concatenate)是指将两个或多个字符串或列的值连接起来,形成一个新的字符串。例如,在生成供应商信息时,可以将供应商名称和所在国家拼接在一起,形成如“供应商名称(国家)”的格式。拼接字段是数据库操作中非常实用的一项功能,能够将多个列或字符串组合为一个新字符串。它会去除字符串右边的所有空格,从而确保拼接结果的整齐。函数用于去除字符串右侧的空格,确保拼接后的格式更加整齐。这些方法的作用相同,都是将多个字符串或列的值连接起来。两列右侧的空格,确保了最终拼接结果的紧凑和整齐。
mybatis的映射文件给sql语句传入String类型等单一参数
菜鸟川的专栏
05-04 4338
在项目中需要统计表中某一列有多少数据,使用sql 语句如下:select count(p_real_frame1) from tbl_frame  其中,想把 count( parameter ) 括号中的参数用占位符表示,通过参数传递完成这个sql语句,这样就可以写成通用的查询某一列有多少数据。要拼接这个 sql 语句,括号里的内容设置为 String 类型的,即整个 sql 语句作为一个字符串...
mybatisPlus 使用@Select @Update等注解配置SQL参数传递
Rosen's
11-28 4599
今天在一个项目上增加接口,发现先驱们都是把sql写到注解里面的,我也就这么写了。sql里面需要传参,参数判断空时,需要用到。首先,我个人还是推崇将所有的sql都写到xml里面去,比较直观易读,以便于维护。表达式,测试时发现怎么都有问题,命名是空,但if居然还进了我的sql。当然,不排除维护一些老项目,或者其它神仙队友喜欢这么写。最后,通过将所有的sql包裹在。
SQL中给传参数的方法
WonSunBeen的专栏
06-13 9324
VS中,在click事件中写了一个语句,传一个值,根据这个值在SQL数据库查询数据。今天用的方法记录如下:SqlParameter  sqlp=new  SqlParameter("@t_loginName",参数值);SqlDataAdapter myAdapter=new  SqlDataAdapter("select  *  from  表名  where  UserName=
SQL解析器未标准化换行在查询之前去掉换行符号
04-22
<think>好的,用户现在的问题是解决SQL解析器在处理换行符时的转换错误,特别是使用dialect.trans(sql)进行方言转换时的问题。需要结合之前的回答和用户提供的站内引用,给出解决方案。 首先回顾用户之前的提问和我的回答。之前我提到了预处理标准化、方言适配处理、AST解析重构和动态换行符映射表等方法,还涉及了调试与验证的步骤。用户现在参考的引用中有INI文件配置、SQL基本概念、Java字符串比较和QueryUI的代码示例,但这些可能和当前问题关联不大,不过需要留意是否有隐藏的联系。 用户的需求明确:解决换行符导致的解析错误,确保查询标准化和正确转换。需要具体的方法来处理SQL中的换行符,可能涉及预处理、解析器配置或方言特定的处理规则。 首先,用户提到的dialect.trans(sql)转换错误,可能是因为换行符在不同方言中的处理方式不同。例如,MySQL可能允许换行作为空格,而Oracle可能需要替换为空格。因此,解决方案可能需要预处理步骤,统一换行符为空格,同时保留字符串内的换行符。 参考之前的回答,用户已经提到了预处理标准化,使用正则表达式替换空白符,但保留字符串内的内容。现在需要进一步细化步骤,可能结合用户提供的引用中的配置信息,比如INI文件中的字符集设置,确保处理后的SQL符合目标数据库的配置,如utf8编码,避免字符问题。 另外,用户提供的引用2中关于SQL的读法可能不相关,但引用3的Java代码示例可能提示在字符串处理时要注意对象比较和值的处理,这可能对预处理中的字符串替换有参考意义,确保替换时不影响字符串字面量内的内容。 引用4中的代码展示了如何从UI获取参数并处理,可能提示在转换过程中需要处理用户输入的动态内容,可能需要类似的参数处理机制,确保换行符处理逻辑能够适应前端传入的不同SQL格式。 现在需要将之前的解决方案细化,结合用户提供的INI配置,比如字符集设置为utf8,可能在处理字符串时需要特别注意编码问题,避免因替换换行符导致的乱码。 可能的步骤包括: 1. 预处理阶段标准化换行符为空格,但排除字符串内的换行。 2. 根据目标方言的规则调整换行符处理,如使用动态映射表。 3. 使用AST解析器确保转换后的SQL语法正确。 4. 结合INI配置中的参数(如字符集),确保转换后的SQL兼容目标数据库设置。 需要注意在预处理时,正则表达式需要精确匹配,避免破坏字符串内的内容。例如,使用正则表达式替换时,先标记字符串内的换行,替换其他地方的换行后再恢复。 同时,测试用例的设计也很重要,特别是跨行字符串的情况,如用户之前提到的测试用例,需要确保预处理不会破坏这种结构。 可能还需要考虑不同方言的保留字和语法差异,例如在转换后的SQL中,换行符的位置是否会影响语法结构,如MySQL的特定语法是否允许换行。 总结,解决方案需要分步骤处理,结合预处理、方言规则、AST解析和严格测试,同时参考用户提供的INI配置确保字符集等设置正确。</think>根据数据库配置规范[^1]和SQL解析原理[^2],针对`dialect.trans(sql)`的换行符处理问题,结合您提供的INI文件字符集配置[^1],提出以下增强解决方案: --- ### 核心处理流程 $$ \text{标准化流程} = \text{预处理} \rightarrow \text{方言规则应用} \rightarrow \text{AST验证} $$ ![换行符处理流程图](https://via.placeholder.com/600x200?text=原始SQL→空白符标准化→方言规则→AST验证→目标SQL) --- ### 增强型预处理方法(兼容字符串字面量) ```java public String smartNormalize(String sql) { // 步骤1:保护带换行符的字符串(如示例[^3]的字符串比较逻辑) Pattern strPattern = Pattern.compile("('(?:\\\\'|[^'])*')"); Matcher m = strPattern.matcher(sql); StringBuffer sb = new StringBuffer(); while (m.find()) { String group = m.group(1).replaceAll("\\s+", "◊"); // 临时标记 m.appendReplacement(sb, group); } m.appendTail(sb); // 步骤2:标准化非字符串区域的换行符(参考[^1]字符集配置) String normalized = sb.toString() .replaceAll("(?m)\\s+", " ") // 多行模式处理 .replace("◊", "\n"); // 还原字符串内容 return normalized; } ``` *技术特性*: 1. 使用临时标记符保护字符串内容(类似的字符串值保护机制) 2. 兼容INI文件中的`utf8`字符集配置 3. 保留`LIKE`子句中的特殊空格需求 --- ### 方言适配层优化 ```java // 基于[^1]中mysqld配置的字符集扩展处理 public String dialectTrans(Dialect dialect, String sql) { String processed = smartNormalize(sql); // 根据方言类型应用特定规则(如[^1]中mysql段的配置) switch (dialect.getType()) { case MYSQL: // 保留换行符作为查询格式化(兼容MySQL的宽松解析) return processed.replaceAll("(?i)CHARACTER SET\\s+utf8", "") + " CHARACTER SET utf8"; // 强制追加字符集 case ORACLE: // 转换为空格并添加Oracle特定语法 return processed.replace("\n", " ") + " /*+ OPT_PARAM('_bloom_filter_enabled','false') */"; default: return dialect.trans(processed); } } ``` *关键配置映射*: - `character-set-server=utf8` → 确保转换后SQL字符集声明统一[^1] - `sql_mode=STRICT_TRANS_TABLES` → 转换时保持严格模式校验 --- ### 调试验证方法 #### 测试用例(基于[^3]字符串处理逻辑) ```sql SELECT '跨行 字符串' AS msg FROM dual WHERE created > '2023-01-01' ``` *验证指标*: 1. 字符串跨行保留完整性 2. WHERE条件中的换行符转换为空格 3. 字符集声明自动补全(MySQL场景) --- ### 错误处理增强 ```java // 结合[^4]的参数处理逻辑记录错误上下文 try { return dialectTrans(targetDialect, sql); } catch (SQLSyntaxErrorException e) { RptParams errorParams = new RptParams(); errorParams.setObject("failedSql", sql); errorParams.setObject("lineNumber", getLineNumber(sql, e.getErrorPos())); logger.error("方言转换错误: {}", errorParams.toJSON()); throw new TransException("SQL转换失败,详见日志定位"); } ``` *定位技术*: 使用`StringUtils.countMatches(sql.substring(0, pos), "\n")`精确获取错误行号 --- ### 性能优化策略 1. **缓存预处理结果** 对相同SQL模板进行哈希缓存(类似[^3]的字符串驻留机制) ```java ConcurrentHashMap<String, String> normalizedCache = new ConcurrentHashMap<>(); String cached = normalizedCache.computeIfAbsent(sql, k -> smartNormalize(k)); ``` 2. **并行方言转换** 对批量SQL语句使用并行流处理: ```java List<String> results = sqlList.parallelStream() .map(sql -> dialectTrans(dialect, sql)) .collect(Collectors.toList()); ``` --- ### 相关扩展问题 1. 如何自动检测SQL语句中的字符集冲突? *提示*:通过正则匹配`CHARACTER SET [^ ]+`并对比目标数据库配置[^1] 2. 预处理时如何处理不同编码格式的混合内容? *方案*:先统一转换为UTF-8后再处理,参考[^1]的字符集声明 3. 如何实现SQL语句转换的逆向验证? *方法*:使用AST解析器双向转换验证语义一致性 [^1]: INI文件配置中的字符集声明是关键处理依据 [^2]: SQL语言特性决定换行符的语义影响程度 [^3]: 字符串处理逻辑需要特殊保护机制 [^4]: 错误定位可借鉴参数传递模式
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值