Sql Server 集合防黑办法
原创
Sql Server 中将由逗号“,”分割的一个字符串,转换为一个表,并应用与 in 条件查询一个集合基本上多数据查询的必备项目.
eg: select * from tablenmae where id in('A','B','C')
而在程序中直接进行SQL语句拼合则是:
string twhere="'A','B','C'";
string sql_str=”select *from tablename where id in(“+ twhere+”)”;
然后直接执行sql_str返回TABLE或list. 但这样虽然简单,但存在一个注入的风险...那我们可以怎么进行处理减低能预见的风险呢.,答案是通过Sql Server 自带的函数将传入的集合进行过滤,当然你说程序序中过滤也行,但效率没Sql Server快. 好下面就是这个SQL函数:
create Function StrToTable(@str varchar(1000))
Returns @tableName Table
(
str2table varchar(50)
)
As
–该函数用于把一个用逗号分隔的多个数据字符串变成一个表的一列,例如字符串’1,2,3,4,5’ 将编程一个表,这个表
Begin
set @str = @str+’,’
Declare @insertStr varchar(50) –截取后的第一个字符串
Declare @newstr varchar(1000) –截取第一个字符串后剩余的字符串
set @insertStr = left(@str,charindex(‘,’,@str)-1)
set @newstr = stuff(@str,1,charindex(‘,’,@str),”)
Insert @tableName Values(@insertStr)
while(len(@newstr)>0)
begin
set @insertStr = left(@newstr,charindex(‘,’,@newstr)-1)
Insert @tableName Values(@insertStr)
set @newstr = stuff(@newstr,1,charindex(‘,’,@newstr),”)
end
Return
End那我们怎么调用这个函数呢,上栗子吧
declare str vchar(100); --定义str变量
set str=’1,2,3’; --给变量赋值
select * from tablename where id in (select str2table from StrToTable(@str) )分析:
A.select str2tablefrom StrToTable(1,2,3) --调用函数StrToTable(1,2,3),执行出来的结果就是:(由逗号“,”分割的一个字符串(1,2,3),转换为一个字段的表结果集)
最后:附一个实际项目sql例子
declare @str varchar(1000) --定义变量
select @str=hylb from [dbo].[f_qyjbxx] where qyid = ${qyid} --给变量赋值
select xsqxtbzd+','
from [dbo].[d_hylb]
where hylbid in (select str2table from strtotable(@str)) --调用函数
for xml path(''); --将查询结果集以XML形式展现(将结果集以某种形式关联成一个字符串)
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读