Salve,

Come posso passare ad una query, come condizione "where", il contenuto di una variabile?

Non sono sicuro di riuscire a spiegarmi, ci provo:

Ho un metodo (in Java) al quale passo come parametro una variable intera.
dovrei fare una select in una tabella che come condizione di "where" abbia il valore di quella variabile, però non conosco bene la sintassi.
devo fare un qualcosa di questo tipo?:


public void controlloEsistenza(int codice){
try {
conn.setAutoCommit(false);
conn.commit();
String sql = "select prv_java_anagra.codice where (prv_java_angra.coice = ) values(?)";

PreparedStatement dbst;
dbst = conn.prepareStatement(sql);
dbst.clearParameters();
conn.commit();
conn.setAutoCommit(true);
}catch(Exception ex) {
//System.out.println("Inserimento fallito");
//System.out.println("Errore : " + ex.toString());
try {
conn.rollback();
} catch(SQLException ex2) {
System.out.println("Eccezione SQL!");
ex2.printStackTrace();
}
}
}


Il codice ovviamente non è completo...

Devi fare una semplice concatenazione di stringhe

Devi fare una semplice concatenazione di stringhe

Che intendi dire?

Devo concatenare i dati del resultset in un vettore di stringhe o qualcosa di simile?

Prima di tutto c'è la query sbagliata. Non hai specificato la tabella da cui prelevare i dati. Un esempio di query potrebbe essere

SELECT name FROM students WHERE code = ?


Poi, dovresti utilizzare la PreparedStatement così

public void controlloEsistenza(int codice){
try {
conn.setAutoCommit(false);
conn.commit();
String sql = "SELECT name FROM students WHERE code = ?"

PreparedStatement dbst;
dbst = conn.prepareStatement(sql);
dbst.clearParameters();
dbst.setInt(1,400932);
conn.commit();
conn.setAutoCommit(true);
}catch(Exception ex) {
//System.out.println("Inserimento fallito");
//System.out.println("Errore : " + ex.toString());
try {
conn.rollback();
} catch(SQLException ex2) {
System.out.println("Eccezione SQL!");
ex2.printStackTrace();
}
}
}


Per ShadowX84, non conviene quasi mai concatenare stringhe alla query.

Questo perché potrebberò sorgere problemi grossi di sicurezza e di query injection.

:)

Non se fai i dovuti replace.. o almeno credo, c'è un modo per iniettare anche se faccio i replace?

bè il PreparedStatement spesso si occupa di fare solo dei replace ... ma la differenza sta sempre nell'implementazione che dipende dal database che stai utilizzando!

Per gestire tu tutti i replace dovresti saperli ... e magari ti sfugge sempre qualcosa .... e poi se nel caso cambi il database deri rivisitare tutto il codice ;)

con il PS fa tutto lui e sei salvo da aventuali cambi di database ....

comunque se riesci a fare tutti i giusti 'escape' (fatti con il replace) stai sicuro!

Prima di tutto c'è la query sbagliata. Non hai specificato la tabella da cui prelevare i dati. Un esempio di query potrebbe essere

Il nome della tabella è prv_java_anagra, come avevo riportato nell'abbozzo del mio codice ;)


Per ShadowX84, non conviene quasi mai concatenare stringhe alla query.

Questo perché potrebberò sorgere problemi grossi di sicurezza e di query injection.

:)

Avevo sentito parlare di una cosa del genere, quindi? il consiglio rimane comunque il PreparedStatement?

bè il PreparedStatement spesso si occupa di fare solo dei replace ... ma la differenza sta sempre nell'implementazione che dipende dal database che stai utilizzando!

Per gestire tu tutti i replace dovresti saperli ... e magari ti sfugge sempre qualcosa .... e poi se nel caso cambi il database deri rivisitare tutto il codice ;)

con il PS fa tutto lui e sei salvo da aventuali cambi di database ....

comunque se riesci a fare tutti i giusti 'escape' (fatti con il replace) stai sicuro!

Il DB è Oracle.


Quindi un'implementazione corretta potrebbe essere questa?


public void controlloEsistenza(int codice){
try {
conn.setAutoCommit(false);
conn.commit();
String sql = "SELECT codice FROM prv_java_anagra WHERE codice = ?"

PreparedStatement dbst;
dbst = conn.prepareStatement(sql);
dbst.clearParameters();
dbst.setInt(1,400932);
conn.commit();
conn.setAutoCommit(true);
}catch(Exception ex) {
//System.out.println("Inserimento fallito");
//System.out.println("Errore : " + ex.toString());
try {
conn.rollback();
} catch(SQLException ex2) {
System.out.println("Eccezione SQL!");
ex2.printStackTrace();
}
}
}


Dove codice è il nome del campo nella tabella e prv_java_anagra è il nome della tabella.

il ? nella query, starebbe a rappresentare il valore che passo ogni volta che richiamo il comando dbst.setInt()?

bè il PreparedStatement spesso si occupa di fare solo dei replace ... ma la differenza sta sempre nell'implementazione che dipende dal database che stai utilizzando!

Per gestire tu tutti i replace dovresti saperli ... e magari ti sfugge sempre qualcosa .... e poi se nel caso cambi il database deri rivisitare tutto il codice ;)

con il PS fa tutto lui e sei salvo da aventuali cambi di database ....

comunque se riesci a fare tutti i giusti 'escape' (fatti con il replace) stai sicuro!

Beh...questa cosa non è tanto chiara neppure a me. In teoria, i parametri vengono passati al driver di connessione al DB che poi li passa in formato comprensibile al DBMS utilizzato.

Per esempio, supponendo di voler passare una stringa possiamo utilizzare il metodo setString.
Nella documentazione ufficiale c'è scritto :

Sets the designated parameter to the given Java String value. The driver converts this to an SQL VARCHAR or LONGVARCHAR value (depending on the argument's size relative to the driver's limits on VARCHAR values) when it sends it to the database.


Quindi, sempre in teoria, il quoting dovrebbe essere automatico, o no ? :confused:

il ? nella query, starebbe a rappresentare il valore che passo ogni volta che richiamo il comando dbst.setInt()?

Siccome è un passaggio di parametri posizionale, ti devi segnare la posizione di ogni ? e metterne il valore nel primo parametro di ogni funzione setXXX.

Spero di essere stato chiaro....:p