SQL Anweisung mittels PreparedStatement

[StefanAusKöln]

Hallo,

ich habe ein Problem mit folgenden Befehlen:

PreparedStatement stmt = null;
stmt = con.prepareStatement("?");
stmt.setString(1, query);

query ist ein String, der als Parameter von einer anderen Funktion übergeben wird. Deshalb kann ich den auch nicht anders zusammensetzen. Wenn nun ein ' im query steht funtioniert der Datenbankbefehl nun nicht mehr. Sonderzeichen versuche ich deshalb mit obiger Konstruktion zu maskieren, was aber nicht klappt...

Vielen Dank schonmal für Hilfe!
Stefan

 

[Noctarius]

Ein PreparedStatement ist (wie der Name sagt) ein komplettes Datenbankstatement. Also ein Select, Update, ...

 

[StefanAusKöln]

Und wie könnte ich alternativ Sonderzeichen maskieren? Kenne das nur aus php, dass es Befehle gibt, die das automatisch erledigen. Muss ich mir sowas für Java selber basteln?

 

[SlaterB]

du hast ja noch nichtmal den Query-String genannt, worum gehts überhaupt?
funktioniert es unabhängig von Java in einem SQL-Tool?

 

[musiKk]

Also ich wundere mich, dass ein prepared Statement (selbst ohne Sonderzeichen) in der Form überhaupt funktioniert. Vor allem mit [c]setString[/c]. Ein Query ist für eine Datenbank ja kein String, sondern ein Konstrukt aus Schlüsselwörtern, Bezeichnern und Parametern mit verschiedenen SQL-Typen wie Zeichenketten und Zahlen. Mit dem Postgres-JDBC-Treiber geht so ein Query z. B. auch gar nicht.

Warum muss das Query derart dynamisch übergeben werden können? Normalerweise steht das Query fest und nur Parameter müssen ausgetauscht werden.

 

[StefanAusKöln]

Der query String könnte bspw. wie folgt aussehen:

UPDATE Tabelle1 SET name='BFG'hj' WHERE ID=2

Diese Ausweisung konnt zu Stande, in dem aus einem Textfeld der Name ausgelesenund eins zu ein in die query übernommen wird:

query = "Update Tabelle1 SET name=' " + textfeld_name.getText() + " ' WHERE ID=2";

Wenn der Name nun ein ' enthält klappt die sql-Anweisung nicht.

Wie ich nun sehe ist mein Ansatz allein deshalb zum Scheitern verurteilt, da ja der String für den Namen ebenfalls von ' eingeschlossen ist und deshalb eine Maskierung auch diese Zeichen betreffen würde. Da ich eine Vielzahl von Abfragen machen muss hatte ich mir überlegt, die Anfrage als String zu übergeben und dann weiter zu verarbeiten. In der weiterverarbeitenden Funktion wollte ich dann auch das Problem mit den ' abfangen. Es sieht allerdings so aus, als ob ich als query keinen String, sondern gleich das PreparedStatement übergeben sollte. Dies erfordert dann bei jeden "Bau" der Anweisung ein bisschen mehr Quellcode. Aber ich vermute anders wird's nicht gehen.

Danke für die Denkanstöße
Stefan

 

[StefanAusKöln]

Hmm, auch dies stellt mich nicht zufrieden, da ich jedesmal auch wieder try-catch-Blöcke schreiben müsste, was viel Code erzeugt. Kann ich vielleicht einfach den String aus dem Textfeld maskieren?

 

[Noctarius]

PreparedStatement statement = connection.prepareStatement("UPDATE Tabelle1 SET name=? WHERE ID=?");
statement.setString(1, txtName.getText());
statement.setInt(2, Integer.parseInt(txtId.getText()));
statement.executeUpdate();

Gesucht wie man die verwendet hast du auch noch nicht, oder?
Using Prepared Statements (The Java™ Tutorials > JDBC(TM) Database Access > JDBC Basics)
Galileo Computing :: Java ist auch eine Insel – 22.10 Vorbereitete Anweisungen (Prepared Statements)

 

[StefanAusKöln]

Ich hab geschaut und das wäre Grundsätzlich kein Problem. Allerdings führt das zu Unmengen von try-catch-Blöcken, wenn ich das jedes mal schreibe wenn ich mir eine Query baue. Dies möchte ich vermeiden...

 

[Noctarius]

Wieso das denn?

 

[StefanAusKöln]

Ich habe derzeit eine Funktion, die eine query entgegennimmt und diese an die Datenbank weiterreicht. Diese Funktion hat die Signatur:

private boolean performQuery(String query)

und liefert jeweils true or false wenn's klappt oder nicht. Die Abfrage beihaltet einen try-catch-Block.

Nun habe ich ca. 40 verschiedene Anfragen (Funktionen) welche obige Funktion nutzen und dazu ihre Querys übergeben. Wenn ich ich diesen 40 Funktionen jeweils ein PreparedStatement bauen möchte, benötige ich hierfür jeweils wieder try-catch-Blöcke (weil ja durch "reparedStatement updateSales = con.prepareStatement" auf eine Datenbankverbindung zugegriffen wird).

Oder kann ich auch ohne die datenbankverbindung anzugeben ein PreparedStatement basteln?

 

[Michael...]

Man kann ja alle 40 PreparedStatements in einen try-catch-Block erzeugen. Vermutlich kannst man sogar einige der Statements zu einem PreparedStatement zusammenfassen - 40 ist ja schon ne ganz schöne Menge.

 

[SlaterB]

bisher musstest du an diesen 40 Stellen mühsam und unsicher die Query + Parameter zu einem String zusammenkitten,
auch kein Vergnügen

und nun der Sonnenschein: du bist in Java, einer vollständigen Programmiersprache, nichts hindert dich daran, den try/ catches Abhilfe zu schaffen,

schreibe an jede der 40 Stellen:

NoExcepQuery q = new NoExpQuery("UPDATE Tabelle1 SET name=? WHERE ID=?");
q.setString(1, txtName.getText());
q.setInt(2, txtId.getText()); // parst gleich automatisch
dbHandler.performQuery(q);

mit einer neuen eigenen Klasse NoExcepQuery, die nur den Query-String + die Parameter sauber ablegt,
so dass später daraus ein PreparedStatement erstellt werden kann

Nebenvorteil: falls irgendwann mal eine andere API als JDBC mit PreparedStatement verwendet wird,
z.B. Hibernate, so muss praktisch nur an einer Stelle der Code geändert werden (von Details wie HQL statt SQL abgesehen )

 

[StefanAusKöln]

Ich denke der Ansatz von SlaterB gefällt mir am besten. Sollte das dann in etwa wie folgt aussehen?

public class NoExcepQuery
{
    public String query;
    public HashMap values = new HashMap();

    public NoExcepQuery(String q)
    {
        this.query = q;
    }

    public void setString(int position, String value)
    {
        values.put(position, value);
    }

    public void setInt(int position, int value)
    {
        values.put(position, value);
    }
}

In der ensprechenden Funktion zum Ausführen der Query werden dann alle Einträge in der HashMap durchlaufen, der Typ mittels instanceof ermitteln und die Ersetzungen durchgeführt? Entspricht das Deiner Idee?

Die Anzahl der Abfragen lässt sich kaum verringern. Es sind 15 Tabellen in die jeweils Werte eingetragen und aktualisiert werden müssen. Dabei teilweise für einzelne Einträge oder für alle vorhandenen...

 

[SlaterB]

instanceof ist nicht ganz so schön, aber ja, so in etwa

in meiner Vorstellung wäre das dann etwas typisierter,
Map<Position, Eintrag(Position, Typ, Name, Wert)>

eine Map ist ja auch nicht unbedingt nötig, eine Liste geht genauso,
beim Übertragen ans PreparedStatement wird man kaum mit der Map etwas anfangen können

 

[StefanAusKöln]

Vielen Dank. Hab's nun mit ner ArrayList gemacht. Viel besser als ne Hashmap. Die war auch ne blöde Idee. Hab die nur letztens neu entdeckt und gleich ein schlechtes Einsatzszenario gefunden...

Es sieht nun wie folgt aus:

import java.util.ArrayList;

public class NoExcepQuery
{
    public String query;
    public ArrayList<QueryValue> values = new ArrayList<QueryValue>();

    public NoExcepQuery(String q)
    {
        this.query = q;
    }

    public void setString(int position, String value)
    {
        values.add(new QueryValue(position, value));
    }

    public void setInt(int position, int value)
    {
        values.add(new QueryValue(position, value));
    }
}

und

public class QueryValue
{
    public int position;
    public Object value;

    public QueryValue(int position, Object value)
    {
        this.position = position;
        this.value = value;
    }
}

ergibt

NoExcepQuery query = new NoExcepQuery("UPDATE TabelleXY SET bezeichnung=? WHERE ID=?");
query.setString(1, bezeichnung);
query.setInt(2, ID);
updateQuery(query);

und

private boolean updateQuery(NoExcepQuery query)
        {
            try
            {
                stmt = con.prepareStatement(query.query);
                QueryValue qv;
                for(int i = 0; i < query.values.size(); i++)
                {
                    qv = (QueryValue)query.values.get(i);
                    if(qv.value instanceof String)
                    {
                        stmt.setString(qv.position, (String)qv.value);
                    }
                    else if(qv.value instanceof Integer)
                    {
                        stmt.setInt(qv.position, (Integer)qv.value);
                    }
                }
                stmt.executeUpdate();
                return true;
            }
            catch(Exception e)
            {
                System.out.println(e);
		System.out.println("!!!!!!!!! ERROR performing update: " + query + " !!!!!!!!!");
		return false;
            }
            finally
            {
                // Close ResultSet and stmt if neccessary
                try {if(null != stmt) stmt.close();} catch(Exception ex) {System.out.println("Error: " + ex);}
            }
        }

Dies nun mit instanceof, da ich nicht wusste wie ich den Typ speichern kann. Aber so läufts schonmal und sieht dazu noch besser aus als vorher (zumindest nicht schlechter) =)

Danke nochmal auch für die Geduld mit mir