我有一些带有日志文件参数的SQL字符串,例如
select a,b,c from db_table where d=? and e=?
-> params: [10,20]
我无法更改日志格式,以便问号被相应的参数替换(至少据我所知,我使用Toplink作为OR映射器)。所以我想有一个小实用程序,我可以给出查询,模式和参数,它给我结果(GUI或没关系)。像这样:
> insertUtil 'select a,b,c from db_table where d=? and e=?' '?' '10,20'
select a,b,c from db_table where d='10' and e='20'
它不一定是完美的(例如日期转换等),它应该只是插入字符串。无需阻止SQL注入,它只是一个用于调试潜在长查询的工具。
我知道编写这样的东西是微不足道的,但我很惊讶我找不到任何类似的现有程序。
为了说清楚我不是在寻找使用JDBC编写预处理语句的方法,我正在尝试获取包含参数的完整查询,以便我可以在另一个程序中执行它,例如生成一个查询计划。
答案 0 :(得分:1)
我知道编程这样的事情是微不足道的
“Trivial”在这里是轻描淡写的:这里根本没有什么可编程的,因为JDBC的设计者已为您编程了所有内容。
问号是JDBC中SQL参数的标记,因此您需要做的就是准备一个带有SQL字符串的语句,并按照给定的顺序设置参数:
String sqlString = "select a,b,c from db_table where d=? and e=?";
String[] parameters = new String[] {"10", "20"};
PreparedStatement ps = comn.prepareStatement(sqlString);
for (int i = 0 ; i != parameters.length ; i++) {
ps.setString(i+1, parameters[i]);
}
ResultSet rs = ps.executeQuery();
while (rs.next()) {
... // Get back your a, b, and c here
}
JDBC驱动程序将处理其余的事情:它会找到参数标记?,并在将查询传递给RDBMS执行之前用您提供的值替换它们。
编辑:(回复编辑问题)
我不是在寻找使用JDBC编写预处理语句的方法,我正在尝试获取包含参数的完整查询,以便我可以在其他程序中执行它,例如为它生成查询计划。
这看起来似乎微不足道,但事实并非如此:虽然看起来你可以通过一个简单的文本替换来完成,但除非你非常关注问号周围的上下文,否则这可能无效。例如,您需要跳过被引号括起来的问号替换或被注释掉的问号。您可以快速编写一个“几乎好”的实用程序,但覆盖所有极端情况都非常棘手。如果您希望做得对,请考虑使用SQL Parser utility。
答案 1 :(得分:0)
短bash脚本(不安全(见下文))
#!/bin/bash
ORIG_STR="$1"
PATTERN="$2"
ARGS="$3"
paste -d '' <(echo "$ORIG_STR" | sed "s/[$PATTERN]/'\n'/g") <(echo "$ARGS" | sed "s/,/\n/g") | tr -d '\n' ;echo
它使用命令替换。在地球上有更多美丽的东西,它不安全与您不信任的查询(SQL注入,奇怪的模式,如&#39;)&#39;)。< / p>