非法的SQL语句

最新推荐文章于 2023-02-13 15:32:53 发布
最新推荐文章于 2023-02-13 15:32:53 发布
阅读量4.3k 收藏
点赞数
分类专栏: SQL Server 文章标签: sql string sqlserver sql server vb.net exception
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iluna/article/details/6720901
版权

合法/非法的SQL文

 

1.   问题描述

'sSQL = "select * from student where id in (190)"
'sSQL = "select * from student where id in (190)"
sSQL = "select * frrom student where id in (190,)"

给出以上三句示例,如何区分出以上哪个SQL文合法?如果只是检查语句是否合法,放到查询分析器里执行就可以得到提示。若要写进代码,举例如下。

2.   实验环境

VS2008,VB.Net,SQLServer2008。

3.   SET PARSEONLY简介

检查每个 Transact-SQL 语句的语法并返回任何错误信息,但不编译和执行语句。

3.1. 语法

SET PARSEONLY { ON | OFF }

3.2. 注释

当 SET PARSEONLY 为 ON 时,Microsoft® SQL Server™ 仅分析语句。当 SET PARSEONLY 为 OFF 时,SQL Server 编译并执行语句。

SET PARSEONLY 的设置是在分析时设置,而不是在执行或运行时设置。

在存储过程或触发器中不要使用 PARSEONLY。如果 OFFSETS 选项为 ON 而且没有出现错误,则 SET PARSEONLY 返回偏移量。

3.3. 权限

SET PARSEONLY 权限默认授予所有用户。

4.   代码示例

Private Sub sqlCheck_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles sqlCheck.Click
        Dim sSQL As String = ""
        'sSQL = "select * from student where id in (190)"
        'sSQL = "select * from student where id in (190)"
         sSQL = "select * frrom student where id in (190,)"
 

        Dim sError As String = ""
        sError = Me.CheckSQLExpressionError(sSQL)
End Sub


Private Function CheckSQLExpressionError(ByVal sSQL As String) As String
        Dim sErrorMessage As String = ""

        Dim myConn As SqlClient.SqlConnection        
        myConn = New SqlClient.SqlConnection("Integrated Security = SSPI; Initial Catalog = datamrp; Data Source = (local) ")
        myConn.Open()

 

        Dim myComm As SqlClient.SqlCommand
        myComm = myConn.CreateCommand
        myComm.CommandType = CommandType.Text

 

        Try
            myComm.CommandText = "SET PARSEONLY ON " & sSQL
            myComm.ExecuteNonQuery()
        Catch ex As Exception
            sErrorMessage = ex.Message
        Finally
            myComm.CommandText = "SET PARSEONLY OFF"
            myComm.ExecuteNonQuery()
        End Try

        Return sErrorMessage
End Function

5.   疑难解答

问:如果我的数据库没有SQL文(sSQL)中对应的表,那么也就异常了,是吧?

答:上述示例只是检查语法是否合法,至于表或者字段什么的是不是真的存在是不会检查的。

steve-lee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
我总结的常用SQL语句
12-14
 Set sql_mode=’strict_trans_tables’; 存储引擎启用严格模式,非法数据值被拒绝  Create table t3(id int(4) primary key auto_increment,sname char(4)); 设置id自动增长  Create table t3(id int(4) ...
工作记录:mybatis
备忘录
09-30 585
1、语句结尾不要加分号,否则报错:SQL 命令未正确结束 2、springboot中,mapper.xml文件不能放在二级包下
sql报错
qq_41955582的博客
03-13 210
@ssh 使用hibernate时 sql语句报错 ERROR SqlExceptionHelper 列名无效:可能原因是:查询的字段名不能与返回的vo的属性名对应。 ERROR SqlExceptionHelper ORA-00911: 无效字符: 看查询语句后面是否带了; 或者是否有非英文合法字符 ...
DMSQL程序异常处理
twotreeslanch的博客
02-15 821
由于不当操作或硬件出现的异常,会导入DMSQL 程序运行发生错误,这种错误超出了DMSQL 程序可处理范围,此种错误称为异常。DMSQL 程序提供了对异常捕获和处理模块。 1.异常处理流程 异常通常由执行DMSQL 程序所在发生服务器抛出,也可以由用户在DMSQL 程序主动抛出。异常抛出后,程序执行会被中止,转至异常处理模块,后续代码将不再执行。 2.预定义异常 在DM SQL程序中,数据库系统提供了预定义异常,这些异常与常见的DM 错误相对应, 如下表所示。 除了上面的预定义异常外,所有没有明确列出的异
8种最坑SQL语法
Tyson0314的博客
12-20 659
今天给大家分享几个SQL常见的“坏毛病”及优化技巧。
达梦数据库报错错误代码汇总
热门推荐
牛排煎黑椒的博客
09-21 2万+
达梦数据库报错代码查询汇总,错误代码
8 种典型SQL错误写法
cdfunlove的博客
05-01 432
作为一枚数据开发或数据分析,SQL语句大家一定不陌生。今天跟大家聊聊SQL写法的几个反面案例。 相信对大家接下来的工作一定会有很多启发 一、limit 语句 分页查询是最常用的场景之一,但也通常也是最容易出问题的地方。比如对于下面简单的语句,一般 DBA 想到的办法是在 type, name, create_time 字段上加组合索引。这样条件排序都能有效的利用到索引,性能迅速提升。 SELECT* FROMoperation WHEREtype='SQLStats' ...
一些SQLite不支持的SQL语法,解决办法
weixin_30872733的博客
04-16 463
1 TOP这是一个大家经常问到的问题,例如在SQLSERVER中可以使用如下语句来取得记录集中的前十条记录:SELECT TOP 10 * FROM [index] ORDER BY indexid DESC;但是这条SQL语句SQLite中是无法执行的,应该改为:SELECT * FROM [index] ORDER BY indexid DESC limit 0,10;其中limit 0,1...
达梦数据库运维-SQL报错-语法错误 2007
ChunLanGG的博客
01-20 1万+
附近出现错误[-2007]:语法分析出错
C#检测是否有危险字符的SQL字符串过滤方法
慢谈人生
02-13 596
C#检测是否有危险字符的SQL字符串过滤方法,避免SQL注入漏洞的发生。
达梦数据库根据指定模式查看表是否存在
11-29
达梦数据库查看指定模式下的表是否存在以及达梦数据库的常用语句!
达梦SQL语言手册
12-24
达梦SQL语言手册 DM7_SQL语言使用手册
SQL注入fuzz字典
02-28
sql注入时很多关键的字符和关键字都过滤了,被称非法,一个一个测试不现实。可以使用该字典,用burp suite跑了一下来判断被过滤的字符。其中长度367表示可用,370表示非法字符,被过滤了。
sql注入资料.zip
最新发布
04-17
当应用程序将用户输入直接拼接到SQL查询语句中时,攻击者就可以通过构造特定的输入来改变SQL语句的结构和语义,从而执行恶意的操作。 SQL注入攻击的危害主要表现在以下几个方面: 数据泄露:攻击者可以通过SQL注入...
达梦数据库_SQL语言手册
03-19
达梦数据库_SQL语言手册.pdf 数据库快照定义语句 数据库快照删除语句 第章数据查询语句和全文检索语句 单表查询 简单查询 带条件查询 集函数 情况表达式 连接查询 子查询 标量子查询 表子查询 派生表子...
sql注入基础知识.rar
04-17
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器...
SQL Server各种日期计算
疯狂源代码
09-20 2773
通常,你需要获得当前日期和计算一些其他的日期,例如,你的程序可能需要判断一个月的第一天或者最后一天。你们大部分人大概都知道怎样把日期进行分割(年、月、日等),然后仅仅用分割出来的年、月、日等放在几个函数中计算出自己所需要的日期!在这篇文章里,我将告诉你如何使用DATEADD和DATEDIFF函数来计算出在你的程序中可能你要用到的一些不同日期。     在使用本文中的例子之前,你必须注意以下的问题
Decimal、Numeric And Money
疯狂源代码
05-26 2207
Decimal 数据包含存储在最小有效数上的数据。 在 SQL Server中,小数数据使用 decimal 或 numeric 数据类型存储。存储 decimal 或 numeric 数值所需的字节数取决于该数据的数字总数和小数点右边的小数位数。例如,存储数值 19283.29383 比存储 1.1 需要更多的字节。 在 SQL Server中,numeric 数据类型等价于 decimal 数据类型
C#实现SQL语句动态替换表名
05-13
在 C# 中,我们可以使用字符串拼接的方式来动态生成 SQL 语句,实现表名的动态替换。 例如,我们可以使用以下代码来实现将表名动态替换为 `table_name`: ```csharp string tableName = "table_name"; string sql = "SELECT * FROM " + tableName; ``` 如果我们需要在 SQL 语句中替换多个表名,可以使用字符串的 `Replace` 方法来实现,例如: ```csharp string sql = "SELECT * FROM table1 WHERE id = @id; SELECT * FROM table2 WHERE id = @id;"; string tableName = "table_name"; sql = sql.Replace("table1", tableName).Replace("table2", tableName); ``` 在上面的例子中,我们首先定义了一个 SQL 语句,其中包含了两个查询语句,分别涉及到两个表 `table1` 和 `table2`。然后,我们使用 `Replace` 方法将表名替换为 `table_name`,最终得到的 SQL 语句为: ```sql SELECT * FROM table_name WHERE id = @id; SELECT * FROM table_name WHERE id = @id; ``` 需要注意的是,在实际开发中,为了防止 SQL 注入攻击,我们应该使用参数化查询来替代字符串拼接的方式生成 SQL 语句。同时,我们还应该对传入的表名进行安全性校验,避免恶意用户传入非法的表名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值