PreparedStatment : conseils pour optimiser mon code

**Monkey_D.Luffy** · 29/05/2008, 23h59

Bonsoir,

Je fais un formulaire, dont les valeurs des champs sont insérées (ou consultées) dans une BD SQL Server.
Or, quand l'utilisateur tape un nom avec une apostrophe, cela créé un problème car cela "déforme" la requête SQL résultant de la saisie (injection SQL).

On m'a dit que le preparedStatement évite ces désagréments. J'ai donc lu la FAQ JDBC concernant les PreparedStatement :
http://java.developpez.com/faq/jdbc/...paredstatement

J'aurais quelques questions :
1 - comment le prepared statement évite-t-il ces désagréments ? Suffit-t-il juste d'utiliser la fonction setObject ? Car s'il faut analyser et modifier soit même ce qu'on insère, quel est l'intérêt du PreparedStatement, par rapport à un Statement au niveau de la sécurité ?

2 - J'ai un champ avec une autocomplétion : à chaque chiffre saisi, on charge les drivers JDBC, on se connecte à la base, on sélectionne les 10 premières villes correspondantes avec un simple Statement, puis on referme la connexion.
S'affiche alors en pré-saisie une liste de villes de la BD dont le code postal commence par la saisie.
Y a-t-il moyen d'optimiser ça ?

Merci pour votre aide.

**OButterlin** · 30/05/2008, 09h15

1) Le PreparedStatement évite ça tout simplement parce qu'on utilise un setter typé.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
PreparedStatement pstmt = connection.prepareStatement("select ... from table1 where col1String = ? and col2Date = ? and col3Int = ?");
pstmt.setString(1, leParametreString);
pstmt.setDate(2, leParametreDate);   // <--- java.sql.Date
pstmt.setInt(3, leParametreInt);
ResultSet rs = pstmt.executeQuery();
...

Au niveau sécurité, il n'y a pas de possibilité d'injection.
Au niveau des paramètres String, on ne se préoccupe plus de doubler les ' à l'intérieur du texte
Un autre gros avantage est que la requête est "pré-compilée" et donc plus rapide dans le cadre d'une ré-utilisation ou d'une boucle d'utilisation.
Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
PreparedStatement pstmt = connection.prepareStatement("update table1 set col1=? where uid=?");
for (UnObjet obj : listObjets)
{
   pstmt.setString(1, obj.getValeur1());
   pstmt.setInt(2, obj.getUid());
   pstmt.executeUpdate();
}
psmt.close();
...

2) Avec un PreparedStatement, tu devrais déjà optimiser le traitement (pré-compilation)
Ensuite, il faudrait passer par un pool de connexions (l'établissement d'une connexion à la base étant gourmand et lent)
Il serait peut-être judicieux de passer par un autre mécanisme comme par exemple une liste de sélection multi-critères avec rapatriement de la valeur sélectionnée.

Quel est le type de client (Swing, AWT, HTML...) ?

A+

**Monkey_D.Luffy** · 30/05/2008, 09h40

Bonjour et merci pour tes indications.

Donc si je comprends bien, la méthode setString s'assure automatiquement qu'il n'y a pas d'injection. C'est pratique alors.

Pour le type de client, c'est du JSP.
En fait j'hésitais entre :
- à chaque lettre saisie, faire une requête sur la table des communes.
ou
- lors du chargement, on récupère tout dans une variable de type arrayList par exemple, puis à chaque lettre saisie on parcourt l'arrayList.

La critère multisélection que tu me conseilles, ça serait par exemple une liste déroulante de départements ?
Encore merci.

**OButterlin** · 30/05/2008, 10h45

Envoyé par Monkey_D.Luffy

La critère multisélection que tu me conseilles, ça serait par exemple une liste déroulante de départements ?

Non, ce serait l'ouverture d'une fenêtre de sélection (en cliquant sur un bouton à côté du champ par exemple) qui affiche la liste des départements (avec des filtres si besoin)
Quand tu cliques (ou double-clique) sur une ligne, la page te retourne la valeur sélectionné dans la page appelante

A+

**Monkey_D.Luffy** · 30/05/2008, 11h05

Ah d'accord je vois.
Mon responsable veut que ça soit un formulaire très simple à utiliser. Je vais donc réfléchir à un moyen pour mettre en oeuvre ta suggestion en réduisant le nombre d'accès à la BD.

Merci et bonne journée.

**Monkey_D.Luffy** · 30/05/2008, 11h58

J'aurais une dernière question si possible.

Dans le formulaire, à chaque validation de saisie, il y a un chargement des drivers, une connexion à la BD, des requête, puis la fermeture de connexion.

Est-il possible de ne faire qu'une seule connexion lors de la connexion à la page d'accueil ?
En gros, le programme charge les drivers et se connecte pendant le chargement de la page d'accueil. Ensuite, l'utilisateur reste connecté à la BD durant tout le temps de la navigation sur le site. Le script ne fait donc qu'exécuter les requêtes directement.

Est-ce possible avec les sessions ou cookies ?

**OButterlin** · 30/05/2008, 12h19

C'est possible, mais pas conseillé du tout

Comme dit précédemment, si tu veux optimiser cet aspect, il faudra passer par un pool de connexions.
Dans la pratique, on prend une connexion, on l'utilise et on la ferme.
L'usage de blocs try - catch - finally est vivement conseillé...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
Connection connection = null;
try
{
   connection = ConnectionUtils.getConnection(); // <-- il est judicieux de créer une classe avec méthode statique pour l'acquisition d'une connexion
   ...
}
catch (Exception e)
{
   ...
}
finally
{
   if ( connection != null ) connection.close();
}