重构之路 组合查询之传递SQL字符串

最新推荐文章于 2024-12-08 11:22:36 发布
最新推荐文章于 2024-12-08 11:22:36 发布
阅读量1.8k 收藏 1
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 【C#】 文章标签: 实例 vb.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lianjiangwei/article/details/38496283
本文详细介绍了使用VB.NET语言重构机房收费系统时,如何解决组合查询问题,包括三层架构下的实现方法及SQL注入安全性的讨论。

         既然是使用VB.NET语言对机房收费系统进行重构,那么无可避免的要去解决组合查询的问题,在VB版的实现中这是一个难点,不过大家还是依靠自己或者共同的智慧解决了这个看似复杂的问题。

         如今编程的语言不同是一方面,更重要的是系统的结构不一样了,采用了三层架构去实现系统,这样一来就要考虑组合查询的在三层结构中的实现方法。当然,组合查询的核心办法是不变的,都是通过将查询的各个条件组装成SQL查询语句的where子句来实现的,问题就是这个where子句的组装在哪里完成?

         如果放在U层完成,那么我们向下传递的参数就是SQL语句的字符串了,如果放在D层完成,那么我们就要将U层输入的字段内容,操作符号和查询内容当做参数传到D层,然后在D层完成组装,最后调用SQLHelper中的函数执行SQL语句,将结果返回即可,就这么简单。下面我们先来看传SQL语句字符串的解决方案:

         首先是U层的代码,U层我们主要完成的是将用户输入的内容进行转换和拼接,形成字符串作为参数向下传递。因为用户输入的字段名称和逻辑关系符号都是汉字的形式,而SQL语句中都为英文形式,必须进行转换,考虑到很多窗体都要使用,因此将转换字段名称和逻辑关系符号封装为两个函数,放在U层的模块中,方便调用,具体实现如下:

         ModelUI的两个转换函数:

         

    ''' <summary>
    ''' 该函数的功能主要是将用户输入的汉字形式的字段名转换为英文形式的字段名称,即数据库中对应的字段名称
    ''' </summary>
    ''' <param name="str"></param>
    ''' <returns></returns>
    ''' <remarks></remarks>
    Public Function ConvertField(ByVal str As String) As String
        Dim result As String = ""
        Select Case (str)
            Case "卡号"
                result = "cardID"
            Case "学号"
                result = "studentID"
            Case "姓名"
                result = "studentName"
            Case "性别"
                result = "sex"
            Case "专业"
                result = "major"
            Case "班级"
                result = "classname"
            Case "上机日期"
                result = "onDate"
            Case "机器号"
                result = "computer"
            Case "下机日期"
                result = "offDate"
            Case "消费金额"
                result = "consume"
            Case "用户名"
                result = "userName"
            Case "登录日期"
                result = "loginDate"
            Case "注销日期"
                result = "logoutDate"

        End Select
        Return result

    End Function
    ''' <summary>
    ''' 该函数的主要功能是将用户输入的汉字形式的逻辑关系符号转为SQL语言中的英文形式
    ''' </summary>
    ''' <param name="str"></param>
    ''' <returns></returns>
    ''' <remarks></remarks>
    Public Function ConvertLogic(ByVal str As String) As String
        Dim result As String = ""
        Select Case (str)
            Case "或"
                result = " or "
            Case "与"
                result = " and "
        End Select
        Return result

    End Function

         U层窗体frmStudentInfo的btnQuery的单击事件代码:

         

 Private Sub btnQuery_Click(sender As Object, e As EventArgs) Handles btnQuery.Click
        btnModify.Enabled = True
        Dim mylist As New List(Of Entity.QueryBalanceEntity)
        Dim Bstudent As New BLL.StudentBLL
        Dim sqlstr As String = Nothing

        '拼接sql字符串,完成参数sqlstr的赋值操作
        If comboLogic1.Text.Trim = "" Then
            sqlstr = ConvertField(comboField1.Text.Trim) + comboOperator1.Text.Trim + "'" + txtContent1.Text.Trim + "'"
        Else
            sqlstr = ConvertField(comboField1.Text.Trim) + comboOperator1.Text.Trim + "'" + txtContent1.Text.Trim + "'" _
                + ConvertLogic(comboLogic1.Text.Trim) + ConvertField(comboField2.Text.Trim) + comboOperator2.Text.Trim + "'" + txtContent2.Text.Trim + "'"
            If comboLogic2.Text.Trim <> "" Then
                sqlstr = ConvertField(comboField1.Text.Trim) + comboOperator1.Text.Trim + "'" + txtContent1.Text.Trim + "'" _
                + ConvertLogic(comboLogic2.Text.Trim) + ConvertField(comboField2.Text.Trim) + comboOperator2.Text.Trim + "'" + txtContent2.Text.Trim + "'" _
                + ConvertLogic(comboLogic2.Text.Trim) + ConvertField(comboField3.Text.Trim) + comboOperator3.Text.Trim + "'"+ txtContent3.Text.Trim+"'"
            End If

        End If
        '使用B层的实例对象调用B层的函数完成查询
        mylist = Bstudent.QueryStudent(sqlstr)
        If mylist.Count > 0 Then
            DataGridView1.DataSource = mylist
        Else
            MsgBox("未检索到您需要的信息,请重新确认您输入的信息是否有误", MsgBoxStyle.OkOnly, "提示")
        End If



    End Sub

         B层相应的函数代码:

         

    Public Function QueryStudent(ByVal sqlstr As String) As List(Of Entity.QueryBalanceEntity)
        Dim istudent As IStudent
        Dim fstudent As New SQLServerFactory
        istudent = fstudent.CreateStudent
        Return istudent.QueryStudent(sqlstr)


    End Function

         D层相应的函数代码:

         

    Public Function QueryStudent(ByVal sqlstr As String) As List(Of Entity.QueryBalanceEntity) Implements IStudent.QueryStudent
        Dim studentHelper As New SQLHelper.SQLSeverHelper
        Dim mylist As New List(Of Entity.QueryBalanceEntity)
        Dim mydt As New DataTable
        Dim sql As String = "select * from  V_QueryBalance where " + sqlstr

        mydt = studentHelper.ExecuteSelect(sql, CommandType.Text)
        mylist = Entity.ConvertTo.ConvertToList(Of Entity.QueryBalanceEntity)(mydt)

        Return mylist

    End Function

         至于上述代码中用来执行SQL语句的ExecuteSelect函数和用来将DataTable转为List泛型集合的ConvertToList函数就不在这里赘述了,相信大家都有自己封装的函数,这里我们主要讨论如何在三层结构中实现组合查询的功能。

         最后总结一下这个解决方案,个人觉得这个方法特别简单,也很好理解,传递字符串的想法是我从高迎师姐的博客里看到的,并简化了代码,以自己的形式去重新书写了代码。但是这种方法有一个严重的缺陷,相信了解的人都知道,那就是SQL注入的问题,当然我们可以在输入框中限制用户的输入,从而防止SQl注入问题,但是这样相比较而言,安全性还是差一些,有没有更好的方法呢?         
MyBatis Plus实战指南:告别繁琐的SQL编写
AI天才研究院
06-06 773
本指南深度解析MyBatis Plus(以下简称MP)如何通过「约定优于配置」与「自动化SQL生成」两大核心机制,将传统MyBatis开发中70%以上的重复SQL编写工作转化为标准化接口调用。内容覆盖从基础CRUD到复杂查询的全场景实践,包含架构设计、实现细节、性能优化及工程化最佳实践,帮助开发者从「手写SQL」向「声明式数据操作」转型,同时揭示MP在复杂业务场景中的扩展边界与解决方案。问题类型MP解决方案未解决场景(需结合MyBatis原生能力)基础CRUD SQL编写BaseMapper自动生成。
Scala全栈开发指南:探索高性能应用开发之路
最新发布
AI天才研究院
06-07 412
随着互联网应用对性能(如高并发、低延迟)和可维护性(如快速迭代、团队协作)的要求日益提升,传统单一范式语言(如纯面向对象的Java或纯脚本的JavaScript)逐渐显现局限。Scala作为“融合型语言”,同时支持面向对象(OO)和函数式编程(FP),天然适合构建复杂全栈应用。Scala核心特性与全栈开发的适配性前后端一体化开发的具体实践(Scala.js + Play框架)高性能并发的实现(Akka Actor模型)数据持久化优化(Slick库)真实项目中的落地经验。
SQL字符串传参
darling331的博客
11-19 234
technicianCode in('${techList.collect { it.technicianCode }.join("','")}')
sql传入组合字符串批量操作
weixin_30323631的博客
11-10 147
批量操作时我们可以传入一个有规律的ID或则是其他唯一值字段的组合字符串,然后:select/update/inset......where 字段 in(传入的组合字符串),而且很多时候我们还涉及到其他操作,下面也有代码,就是将传入的组合字符串,重新分割后,再次对数据库进行操作 create proc prc_OrderBatchHandle@Sgin int,@BatchStr varchar...
.netSQL参数传递实现
马如林的IT博客
03-24 2318
参考Petshop 4 设计(http://www.cnblogs.com/Files/ltc31/Microsoft%20.NET%20Pet%20Shop%204.0.rar),本文主要演示的是怎么准备参数传递数据库是Oracle。部分代码如下(用到的其他相关配置参见上篇文档):/**////         /// Execute a select query that will
SQL技巧
leifengchuan的博客
07-21 209
[b]一、一些常见的SQL实践[/b] [b](1)负向条件查询不能使用索引[/b] select * from order where status!=0 and stauts!=1 not in/not exists都不是好习惯 可以优化为in查询: select * from order where status in(2,3) [b](2)前导模糊查询不能使用...
sqlserver存储过程里传字段、传字符串,并返回DataTable、字符串,存储过程调用存储过程。...
dengmei056072的博客
09-23 1157
经常需要查一些信息, 想写视图来返回数据以提高效率,但是用试视图不能传参,只好想到改存储过程。记录一下语法,方便以后做项目时候想不起来了用。 1:传字段返回datatable 2:传字段回一串字符 3: 传字符串返回datable 4:存储过程调用存储过程 --加半个小时(select dateadd(MIN...
sql用于字符串的聚合函数_SQL字符串函数用于数据整理(争用)
culuo4781的博客
07-25 3742
sql用于字符串的聚合函数 In this article, you’ll learn the tips for getting started using SQL string functions for data munging with SQL Server. In many cases, Machine learning outcomes are only as good as th...
SQL查询转换为R表达式
01-27
你只需将SQL查询字符串作为参数传递给该函数,它会连接到指定的数据库并返回查询结果。例如: ```R library(SQLR) connection (RSQLite::SQLite(), dbname = "my_database.sqlite") result <- sqlQuery...
ASP.NET过滤类SqlFilter,防止SQL注入 原创
10-22
此外,完全避免SQL注入的最好方法是不使用字符串拼接的方式来构建SQL语句,而应该使用参数查询的方式,这种方式能够有效地将数据与SQL代码逻辑分离开来,即使用户输入恶意内容也无法影响SQL语句的结构,从而大幅度...
Sqlserver表类型和表名同事传参数据库操作
wzx_it的专栏
07-23 609
自定义表类型如下: CREATE TYPE [dbo].[UdtStatItem] AS TABLE( [ObjCode] [bigint] NULL, [TimeCode] [int] NULL, [Data] [int] NULL ) GO 传过来的是一个DataTable类型  的表跟表类型对应; 存储过程如下 CREATE proc [dbo]
SQL多个字段拼接组合成新字段的常用方法
热门推荐
weixin_45804142的博客
02-23 1万+
SQL多个字段拼接组合成新字段的常用方法分享
如何在SQL中高效拼接字符串?实战教程奉上!
m0_67266585的博客
12-08 2474
数据库中的拼接字段(Concatenate)是指将两个或多个字符串或列的值连接起来,形成一个新的字符串。例如,在生成供应商信息时,可以将供应商名称和所在国家拼接在一起,形成如“供应商名称(国家)”的格式。拼接字段是数据库操作中非常实用的一项功能,能够将多个列或字符串组合为一个新字符串。它会去除字符串右边的所有空格,从而确保拼接结果的整齐。函数用于去除字符串右侧的空格,确保拼接后的格式更加整齐。这些方法的作用相同,都是将多个字符串或列的值连接起来。两列右侧的空格,确保了最终拼接结果的紧凑和整齐。
mybatis的映射文件给sql语句传入String类型等单一参数
菜鸟川的专栏
05-04 4338
在项目中需要统计表中某一列有多少数据,使用sql 语句如下:select count(p_real_frame1) from tbl_frame  其中,想把 count( parameter ) 括号中的参数用占位符表示,通过参数传递完成这个sql语句,这样就可以写成通用的查询某一列有多少数据。要拼接这个 sql 语句,括号里的内容设置为 String 类型的,即整个 sql 语句作为一个字符串...
mybatisPlus 使用@Select @Update等注解配置SQL参数传递
Rosen's
11-28 4599
今天在一个项目上增加接口,发现先驱们都是把sql写到注解里面的,我也就这么写了。sql里面需要传参,参数判断空时,需要用到。首先,我个人还是推崇将所有的sql都写到xml里面去,比较直观易读,以便于维护。表达式,测试时发现怎么都有问题,命名是空,但if居然还进了我的sql。当然,不排除维护一些老项目,或者其它神仙队友喜欢这么写。最后,通过将所有的sql包裹在。
SQL中给传参数的方法
WonSunBeen的专栏
06-13 9324
VS中,在click事件中写了一个语句,传一个值,根据这个值在SQL数据库查询数据。今天用的方法记录如下:SqlParameter  sqlp=new  SqlParameter("@t_loginName",参数值);SqlDataAdapter myAdapter=new  SqlDataAdapter("select  *  from  表名  where  UserName=
SQL解析器未标准化换行在查询之前去掉换行符号
04-22
另外,用户提供的引用2中关于SQL的读法可能不相关,但引用3的Java代码示例可能提示在字符串处理时要注意对象比较和值的处理,这可能对预处理中的字符串替换有参考意义,确保替换时不影响字符串字面量内的内容。...
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值