Einstufige Verarbeitung mit Freemarker

Sie können ausgefüllte Maskenfelder im select_stmt der Maske auf zweierlei Arten verarbeiten:

Zweistufige Verarbeitung, wo zuerst die Platzhalter mit den Feldinhalten ersetzt werden, und dann mit Freemarker
Einstufige Verarbeitung mit Freemarker

Hier ein einfaches Beispiel für zweistufige Verarbeitung:

Im select_stmt der Maske steht

select tid,name from userinfo where position(<<Suchwort>> in name) > 0;

Wenn in dem Maskenfeld "Suchwort" der Begriff "Schmidt" eingegeben wird, wird zur Laufzeit daraus der SQL

select tid,name from userinfo where position('Schmidt' in name) > 0;

Dieser Code kann bei der einstufigen Verarbeitung durch diesen ersetzt werden:

--freemarker template
<#assign suchwort=.vars["Suchwort"] />
select tid,name from userinfo where position('${suchwort}' in name) > 0;

Dies hat den Vorteil dass man vor dem Abschicken des SQLs noch weitere Freemarker Funktionen voranstellen kann, z.B.

--freemarker template
<#assign suchwort=.vars["Suchwort"]?replace("?","https://superxhosting.de/wiki/index.php/null") />
select tid,name from userinfo where position('${suchwort}' in name) > 0;

Man muss allerdings aufpassen / abfangen ob überhaupt etwas im Maskenfeld eingegeben wurde.Daher nutzt man diese Technik eher bei Pflichtfeldern.

Beide Beispiele mögen anfällig für SQL-Injection aussehen, es wird aber bereits beim Abschicken der Maske, vor der tatsächlichen Ausführung der SQLs vom Servlet geprüft, ob das Suchwort Sonderzeichen wie Anführungszeichen oder Semikolon enthält, und dann ggf. zurückgewiesen mit der Meldung -Ungültige Eingabe-.