質問編集履歴

ソースコード体裁の修正

2018/03/19 16:58

投稿

terepoteto

スコア6

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -8,6 +8,7 @@
 PHPでいうpg_escape_stringのようなものを探しています。
 ### 該当のソースコード
+```Java
 Int cnt = 0;
 StringBuffer buff = new StringBuffer();
@@ -61,6 +62,7 @@
 buff.append(";");
 String sql = buff.toString();
 ResultSet rs = stmt.executeQuery(sql); //コネクション作成及びステートメント作成は略
+```
 ### 試したこと

ソースコードの記載及び補足情報の追加

2018/03/19 16:58

投稿

terepoteto

スコア6

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -8,9 +8,60 @@
 PHPでいうpg_escape_stringのようなものを探しています。
 ### 該当のソースコード
+Int cnt = 0;
+StringBuffer buff = new StringBuffer();
-客先との機密保持契約により公開できません。
+buff.append("select columnA, columnB, columnC, ・（中略）・ from FooTable");
+If(CanGetParamA){
+　　If(cnt = 0){
+　　　　buff.append("Where ColumnA = '");
+　　　　buff.append(paramA);
+　　　　buff.append("'");
+　　}else{
+　　　　buff.append("and ColumnA = '");
+　　　　buff.append(paramA);
+　　　　buff.append("'");
+　　}
+}
+If(CanGetParamB){
+　　If(cnt = 0){
+　　　　buff.append("Where ColumnB = '");
+　　　　buff.append(ParamB);
+　　　　buff.append("'");
+　　}else{
+　　　　buff.append("and ColumnB = '");
+　　　　buff.append(ParamB);
+　　　　buff.append("'");
+　　}
+}
+If(CanGetParamC){
+　　If(cnt = 0){
+　　　　buff.append("Where ColumnC = '");
+　　　　buff.append(ParamC);
+　　　　buff.append("'");
+　　}else{
+　　　　buff.append("and ColumnC = '");
+　　　　buff.append(ParamC);
+　　　　buff.append("'");
+　　}
+}
+（以下同じ条件式が続き中略）
+If(CanGetParamH){
+　　　　buff.append("order by '");
+　　　　buff.append(ParamH);
+　　　　buff.append("'");
+　　}
+}
+buff.append(";");
+String sql = buff.toString();
+ResultSet rs = stmt.executeQuery(sql); //コネクション作成及びステートメント作成は略
 ### 試したこと
 ・ライブラリ調査（途上）
@@ -25,4 +76,8 @@
 RDBMSはOracle12cです。
 尚、古い携帯にも対応させる為、文字コードはShift_JISから変更できず
-内部でUTF-8、出力時にShift_JISといった変換もできません。
+内部でUTF-8、出力時にShift_JISといった変換もできません。
+当初プレイスホルダの使用（StatementクラスからPreparedStatementクラスへの変更、
+setStringやsetIntメソッドの使用）を提案しましたが、
+改修コスト及びテストコストより却下され、サニタイズのみで対応する事となりました。