成长路上除了 发表于 2019-7-10 14:06:16

Sql Server 集合防黑办法


Sql Server 中将由逗号“,”分割的一个字符串,转换为一个表,并应用与 in 条件查询一个集合基本上多数据查询的必备项目.

eg:select * from tablenmae where id in('A','B','C')

而在程序中直接进行SQL语句拼合则是:

string twhere="'A','B','C'";

string sql_str=”select *from tablename where id in(“+ twhere+”)”;

然后直接执行sql_str返回TABLE或list. 但这样虽然简单,但存在一个注入的风险...那我们可以怎么进行处理减低能预见的风险呢.,答案是通过Sql Server 自带的函数将传入的集合进行过滤,当然你说程序序中过滤也行,但效率没Sql Server快. 好下面就是这个SQL函数:
create Function StrToTable(@str varchar(1000))
Returns @tableName Table
(
str2table varchar(50)
)
As
–该函数用于把一个用逗号分隔的多个数据字符串变成一个表的一列,例如字符串’1,2,3,4,5’ 将编程一个表,这个表
Begin
set @str = @str+’,’
Declare @insertStr varchar(50) –截取后的第一个字符串
Declare @newstr varchar(1000) –截取第一个字符串后剩余的字符串
set @insertStr = left(@str,charindex(‘,’,@str)-1)
set @newstr = stuff(@str,1,charindex(‘,’,@str),”)
Insert @tableName Values(@insertStr)
while(len(@newstr)>0)
begin
set @insertStr = left(@newstr,charindex(‘,’,@newstr)-1)
Insert @tableName Values(@insertStr)
set @newstr = stuff(@newstr,1,charindex(‘,’,@newstr),”)
end
Return
End

例子:
declare str vchar(100); --定义str变量
set str=’1,2,3’; --给变量赋值
select * from tablename where id in (select str2table from StrToTable(@str) )

分析:
A.select str2tablefrom StrToTable(1,2,3) --调用函数StrToTable(1,2,3),执行出来的结果就是:(由逗号“,”分割的一个字符串(1,2,3),转换为一个字段的表结果集)

最后:附一个实际项目sql例子
declare @str varchar(1000)--定义变量

select @str=hylb from . where qyid = ${qyid} --给变量赋值

select xsqxtbzd+','
from .
where hylbid in (select str2table from strtotable(@str))--调用函数
      for xml path('');--将查询结果集以XML形式展现(将结果集以某种形式关联成一个字符串)
页: [1]
查看完整版本: Sql Server 集合防黑办法