sql字符串

于 2024-05-03 16:57:36 发布
阅读量46 收藏
点赞数
文章标签: jquery 前端 javascript
原文链接:https://www.xjxminfo.com/
版权
本文介绍了如何在MySQL中使用SqlString库进行简单SQL查询的转义,包括转义查询值、查询标识符,以及如何通过format()方法生成格式化的安全查询,以防止SQL注入攻击。
摘要由CSDN通过智能技术生成

MySQL 的简单 SQL 转义和格式

安装

$ npm install sqlstring

用法

var SqlString = require('sqlstring');

转义查询值

注意:这些转义值的方法仅在 禁用NO_BACKSLASH_ESCAPES SQL 模式(这是 MySQL 服务器的默认状态)时才有效。

注意该库执行客户端转义,因为这是一个在客户端生成 SQL 字符串的库。诸如此类的函数的语法 SqlString.format可能看起来类似于准备好的语句,但事实并非如此,并且该模块的转义规则用于生成结果 SQL 字符串。转义输入的目的是避免 SQL 注入攻击。为了支持增强的支持SETIN格式化,该模块将根据传入的 JavaScript 值的形状进行转义,并且生成的转义字符串可能不止一个值。当提供结构化用户输入作为要转义的值时,应注意验证输入的形状以验证输出是否符合预期。

为了避免 SQL 注入攻击,在 SQL 查询中使用用户提供的任何数据之前,您应该始终转义该数据。您可以使用以下方法来执行此 SqlString.escape()操作:

var userId = 'some user provided value';
var sql    = 'SELECT * FROM users WHERE id = ' + SqlString.escape(userId);
console.log(sql); // SELECT * FROM users WHERE id = 'some user provided value'

或者,您可以使用?字符作为您想要转义的值的占位符,如下所示:

var userId = 1;
var sql    = SqlString.format('SELECT * FROM users WHERE id = ?', [userId]);
console.log(sql); // SELECT * FROM users WHERE id = 1

多个占位符按照传递的顺序映射到值。例如,在以下查询中fooequals abarequals bbazequalsc和 idwill be userId

var userId = 1;
var sql    = SqlString.format('UPDATE users SET foo = ?, bar = ?, baz = ? WHERE id = ?',
  ['a', 'b', 'c', userId]);
console.log(sql); // UPDATE users SET foo = 'a', bar = 'b', baz = 'c' WHERE id = 1

这看起来类似于 MySQL 中的准备语句,但它实际上只是SqlString.escape()在内部使用相同的方法。

注意这也与准备好的语句不同,因为所有语句?都被替换,甚至那些包含在注释和字符串中的语句。

不同的值类型的转义方式不同,具体方法如下:

  • 数字保持不变
  • 布尔值转换为true/false
  • 日期对象转换为'YYYY-mm-dd HH:ii:ss'字符串
  • 缓冲区转换为十六进制字符串,例如X'0fa5'
  • 字符串被安全转义
  • 数组变成列表,例如['a', 'b']变成'a', 'b'
  • 嵌套数组被变成分组列表(用于批量插入),例如[['a', 'b'], ['c', 'd']]变成('a', 'b'), ('c', 'd')
  • 具有toSqlString方法的对象将被.toSqlString()调用,并且返回值将用作原始 SQL。
  • key = 'val'对于对象上的每个可枚举属性,对象都会变成对。如果属性的值是一个函数,则跳过它;如果属性的值是一个对象,则对其调用 toString() 并使用返回值。
  • undefined/null转换为NULL
  • NaN/Infinity保持原样。 MySQL 不支持这些,尝试将它们作为值插入将触发 MySQL 错误,直到它们实现支持。

您可能已经注意到,这种转义允许您做如下巧妙的事情:

var post  = {id: 1, title: 'Hello MySQL'};
var sql = SqlString.format('INSERT INTO posts SET ?', post);
console.log(sql); // INSERT INTO posts SET `id` = 1, `title` = 'Hello MySQL'

toSqlString方法允许您使用函数形成复杂的查询:

var CURRENT_TIMESTAMP = { toSqlString: function() { return 'CURRENT_TIMESTAMP()'; } };
var sql = SqlString.format('UPDATE posts SET modified = ? WHERE id = ?', [CURRENT_TIMESTAMP, 42]);
console.log(sql); // UPDATE posts SET modified = CURRENT_TIMESTAMP() WHERE id = 42

要使用方法生成对象toSqlStringSqlString.raw()可以使用该方法。这将创建一个在占位符中使用时保持不变的对象? ,对于将函数用作动态值非常有用:

注意提供的字符串SqlString.raw()在使用时将跳过所有转义函数,因此在传递未经验证的输入时要小心。

var CURRENT_TIMESTAMP = SqlString.raw('CURRENT_TIMESTAMP()');
var sql = SqlString.format('UPDATE posts SET modified = ? WHERE id = ?', [CURRENT_TIMESTAMP, 42]);
console.log(sql); // UPDATE posts SET modified = CURRENT_TIMESTAMP() WHERE id = 42

如果你觉得需要自己转义查询,也可以直接使用转义函数:

var sql = 'SELECT * FROM posts WHERE title=' + SqlString.escape('Hello MySQL');
console.log(sql); // SELECT * FROM posts WHERE title='Hello MySQL'

转义查询标识符

如果您不能信任 SQL 标识符(数据库/表/列名称),因为它是由用户提供的,您应该SqlString.escapeId(identifier)像这样转义它:

var sorter = 'date';
var sql    = 'SELECT * FROM posts ORDER BY ' + SqlString.escapeId(sorter);
console.log(sql); // SELECT * FROM posts ORDER BY `date`

它还支持添加限定标识符。它将逃脱这两个部分。

var sorter = 'date';
var sql    = 'SELECT * FROM posts ORDER BY ' + SqlString.escapeId('posts.' + sorter);
console.log(sql); // SELECT * FROM posts ORDER BY `posts`.`date`

如果您不想将其.视为限定标识符,TP钱包下载则可以将第二个参数设置为 ,true以便将字符串保留为文字标识符:

var sorter = 'date.2';
var sql    = 'SELECT * FROM posts ORDER BY ' + SqlString.escapeId(sorter, true);
console.log(sql); // SELECT * FROM posts ORDER BY `date.2`

或者,您可以使用??字符作为您想要转义的标识符的占位符,如下所示:

var userId = 1;
var columns = ['username', 'email'];
var sql     = SqlString.format('SELECT ?? FROM ?? WHERE id = ?', [columns, 'users', userId]);
console.log(sql); // SELECT `username`, `email` FROM `users` WHERE id = 1

请注意,最后一个字符序列是实验性的,语法可能会改变

当您将对象传递给.escape()或 时.format().escapeId()用于避免对象键中的 SQL 注入。

格式化查询

您可以SqlString.format使用 id 和值的正确转义来准备具有多个插入点的查询。一个简单的例子如下:

var userId  = 1;
var inserts = ['users', 'id', userId];
var sql     = SqlString.format('SELECT * FROM ?? WHERE ?? = ?', inserts);
console.log(sql); // SELECT * FROM `users` WHERE `id` = 1

接下来,您将获得一个有效的转义查询,然后您可以将其安全地发送到数据库。如果您希望在实际将查询发送到数据库之前准备好查询,那么这非常有用。您还可以选择(但不是必需)传入stringifyObjecttimeZone,允许您提供将对象转换为字符串的自定义方法,以及特定于位置/时区的Date

这可以进一步与SqlString.raw()帮助程序结合以生成包含 MySQL 函数作为动态值的 SQL:

var userId = 1;
var data   = { email: 'foobar@example.com', modified: SqlString.raw('NOW()') };
var sql    = SqlString.format('UPDATE ?? SET ? WHERE `id` = ?', ['users', data, userId]);
console.log(sql); // UPDATE `users` SET `email` = 'foobar@example.com', `modified` = NOW() WHERE `id` = 1
Tpandyy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sql Server函数全解(一)字符串函数
m0_50414588的博客
05-24 592
eg: select STR(3141.59,6,1),STR(123.45,2,2)  第一条语句6个数字和一个小数点组成的数值3141.59转换为长度为6的字符串,数字的小数部分舍入为1个小数位,第二条语句中的表达式超出指定的总长度时,返回的字符串为指定长度的两个**。
C#检测是否有危险字符的SQL字符串过滤方法
09-04
C#作为.NET框架的主要编程语言,提供了一些方法来检查和过滤可能含有危险字符的SQL字符串,以避免此类攻击的发生。 首先,我们来看一个C#中实现的SQL字符串过滤函数`ProcessSqlStr`。这个函数通过定义一系列的危险...
MyBatis 动态拼接Sql字符串的问题
09-01
MyBatis的动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串的问题,非常不错,感兴趣的朋友一起看下吧
sql语句字符串处理大全
m0_37546766的博客
01-31 2370
sql语句字符串处理大全
常用SQL字符串函数
Lewis's Space
01-05 1646
问:请教一个SQL 2000 SEVER问题:select * from itemcodewhere code like 40% 如何让code=40101001变成code=401-01-001目前有666个CODE是类似40101001用什么语句能把它变成401-01-001  答:update itemcode set code=replace(code,left(code,8),lef
SQL Server 字符串处理
weixin_33762130的博客
01-08 178
DECLARE @str VARCHAR(50) SET @str='AP-FQC-2014072300004' --获取指定字符第一次出现的位置 SELECT PATINDEX('%-%',@str) --返回:3 --获取指定字符第一次出现的位置之前的字符串 SELECT SUBSTRING(@str,1,CHARINDEX('-',@str)-1) --返回:AP ...
SQL字符串查询
passersby_Hu的博客
09-10 6569
SQL查询字符串的包含方法归纳总结SQL字符串查询已知字符串查数据库中是否包含该字符串已知字符串查询该字符串是否包含数据库中某个字段的值 SQL字符串查询 在使用SQL查询的时候,我们通常会遇到以下两种情况:1)已知某个字符串,判断数据库中某个字段的值是否包含该字符串;2)已知某个字符串,判断该字符串是否包含数据库中某个字段的值。该篇文章将就这两种情况分别提供可实现的方法,仅供参考,欢迎评论补充。 已知字符串查数据库中是否包含该字符串 针对这种情况,我们一般使用“like+%”的方法来实现,举例,数据库中存
sql 字符串函数
m0_71368368的博客
09-06 1785
代码写出来如下: 代码有点多没截完 第二个表如下: 代码如下展示: 第三个表如下: 代码如下: 第四张表 代码如下: 字符串函数 1.charindex 用来寻找这个字在字符串中的位置 select charindex('SQl','my SQL Course' ,1); 返回 4 ------------------------------------------------------ 2.len...
SQL字符串处理
CCyutaotao的博客
04-13 1332
SQL字符串处理
sql字符串函数大全和使用方法示例
09-10
SQL Server 提供了一系列强大的字符串处理函数,帮助开发者在处理文本数据时进行各种操作。在本文中,我们将深入探讨几个常用的字符串函数,包括LEN、LOWER、UPPER、LTRIM、RTRIM、SUBSTRING、CHARINDEX、LEFT和...
SQL 截取字符串应用代码
09-11
SQL中的字符串截取功能是数据库操作中常用的一种技术,它允许我们从较大的文本块中提取出特定部分。这里主要讨论的是SQL的`SUBSTRING`函数,以及相关的字符串处理函数。 `SUBSTRING`函数是SQL中用于截取字符串的...
SQL语句中设置多个字符串
05-20
一个sql的多字符的检索源码非常有帮助的实例,初学者值得拥有
sql替换指定字符
08-24
不常用,但是很实用,我找了很久才找到,可以直接在Navicat里面操作
Sql Server 字符串聚合函数
09-11
在标题和描述中提到的问题是,如何在SQL Server中聚合字符串。例如,有一个名为`AggregationTable`的表,包含`Id`和`Name`两个字段,`Id`字段表示分类标识,`Name`字段存储字符串。我们想要根据`Id`将相同`Id`下的...
sql server 中的 字符串函数(详解)
qq_44983621的博客
08-16 438
--字符串函数 --1.把ascII转换成字符 select CHAR(97) --2.把字符转化成ascll select ASCII('a') --3.字符下标 下表从1开始 select CHARINDEX('o','I love you') --4.截取字串 --(1)从左边截取 select LEFT('asdfghhjk',3) --(2)从右边截取 select RIGHT('asd...
SQL 常用的字符串函数
followmefollowme的博客
07-06 9156
SQL 常用的字符串函数 1.replace:替换函数 replace(string,from_str,to_str) 即:将string中所有出现的from_str替换为to_str 2.left: left:(string,2) 从边选取两个 3.right: right(string,2) 从右边选取两个 4.mid: mid(string,3,lenght)从第三个字符开始选取length个,length不写默认取剩余所有字符 5.substring:字符串,起始下标,长度 返回提取的字符串
SQL字符串操作函数及示例
Carey
05-19 1303
REPLACE()语法:REPLACE(‘string_replace1’,’string_replace2’,’string_replace3’) ”string_replace1” 待搜索的字符串表达式。string_replace1 可以是字符数据或二进制数据。 ”string_replace2” 待查找的字符串表达式。string_replace2 可以是字符数据或二进制数据。 ”st
SQL之常用字符串函数
chenmumu233的博客
03-05 1378
14. CHAR_LENGTH( )`或 `CHARACTER_LENGTH( ):返回字符串的字符数。6. SUBSTR( ) 或 SUBSTRING( ):从字符串中提取指定长度的子字符串。5. CONCAT_WS( ):使用指定的分隔符将两个或多个字符串连接在一起。9. REPLACE( ):将字符串中的某个子字符串替换为另一个子字符串。8. RIGHT( ):从字符串的右侧提取指定长度的子字符串。7. LEFT( ):从字符串的左侧提取指定长度的子字符串。1.length( )按字节来计算。
sql学习 截取字符串
ferventtempo_的博客
03-03 772
语法格式:substring(columns,start,length)语法格式:left(columns,length)语法格式:left(columns,length)从字符串左边开始截取指定个数的字符返回。从字符串右边开始截取指定个数的字符返回。3、substring()函数。2、right()函数。1、left()函数。
达梦sql字符串连接
最新发布
06-28
在达梦数据库(DM)中,SQL字符串连接通常使用`||`运算符或者`CONCAT()`或`CONCAT_WS()`函数来实现。这两个操作符和函数可以用来将两个或多个字符串连接成一个新的字符串。 1. 使用`||`运算符: ```sql SELECT '...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值