无意中看到的文章,简单而又可怕的拼接SQL造成的意想不到的后果,转来记录下

最新推荐文章于 2022-02-14 10:26:43 发布
最新推荐文章于 2022-02-14 10:26:43 发布
阅读量883 收藏
点赞数
分类专栏: 数据库

虽然公司有要求sql语句要调用ORM的方法处理,就算自己写也要参数化,但还是有些地方会没用注意到,看到下面的文章,惊出冷汗!

-----------------------------------------------------------------------------

 执行数据操作时,由于拼接SQL存在种种弊端,早就应该抛弃了,但在现实开发时,又由于种种原因,公司一直采用这种方式(UI层和逻辑层都有严格的过滤,倒也没出现过什么问题),但昨天开发时却出现了意想不到的问题,一个简单的语句会造成严重后果。简单的语句示例如下:

复制代码
     ///   <summary>
     ///  更新主键为2的记录的总钱数
     ///   </summary>
     ///   <param name="totalMoney"> 修改后的总钱数 </param>
     public   void  UpdateTotalMoney( int  totalMoney)
    {
         int  id  =   2 // 数据库表主键
         int  oldTotalMoney  =   5000 ;        // 主键为2的记录原来的总钱数
         int  newTotalMoney  =  totalMoney;  // 主键为2的记录更改后的钱数
         int  totalMoneyChange  =  oldTotalMoney  -  newTotalMoney;  // 总钱数的变化量
         string  sql  =   string .Format( " update Test1220 set totalMoney = {0},remainMoney = remainMoney-{1} where id = {2} " , newTotalMoney, totalMoneyChange, id);    // 总钱数变化,剩余可支配钱数也跟着编号
        SqlConnection con  =   new  SqlConnection(sqlConnectString);
        con.Open();
        SqlCommand cmd  =   new  SqlCommand(sql, con);
        cmd.ExecuteNonQuery();
        con.Close();
    }
复制代码

 

复制代码
     CREATE   TABLE  Test1220(
        id  int   IDENTITY ( 1 , 1 NOT   NULL   PRIMARY   KEY ,
        totalMoney  int   NULL ,
        remainMoney  int   NULL
    )

     insert   into  Test1220(totalMoney,remainMoney)  values ( 3000 , 2000 )
     insert   into  Test1220(totalMoney,remainMoney)  values ( 5000 , 5000 )
     insert   into  Test1220(totalMoney,remainMoney)  values ( 1000 , 1000 )
     insert   into  Test1220(totalMoney,remainMoney)  values ( 3000 , 3000 )
     insert   into  Test1220(totalMoney,remainMoney)  values ( 3000 , 3000 )
     insert   into  Test1220(totalMoney,remainMoney)  values ( 3000 , 3000 )
复制代码

 
      接下来调用方法UpdateTotalMoney()更新主键为2的记录的总钱数和剩余钱数,UpdateTotalMoney(4000)和UpdateTotalMoney(8000)更新id=2的记录,会发生什么情况呢?执行UpdateTotalMoney(4000)时正常,表中只有id=2的记录跟着更新;但执行完UpdateTotalMoney(8000)之后,却出现了意想不到的问题,所有记录的totalMoney都变成8000了,而remainMoney却一个也没有修改。是什么原因造成的呢?明明已经加了where条件id=2,怎么会更新到所有记录?

      这可把我这个菜鸟级的给难住了,简单的语句,传递不同的参数会有时正常有时异常,反复跟踪调试,才发现问题出现在SQL语句上,当参数为8000时,得到的SQL语句为“update Test1220 set totalMoney = 8000,remainMoney = remainMoney--3000 where id = 2”,原来是减运算符和负号连在一起成了SQL的注释符号,把更新时的where条件给注释掉了,真是一个危险的操作!这个错误很隐蔽,查找错误花了很长时间,如果执行数据库操作时参数化,就不会有这种情况了。

---------------------------------------------------------

太可怕了!!!

Vezn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈JPA和MyBatis的区别和各自的特性
weixin_50253745的博客
09-01 2156
JPA与MyBatis相比,优缺点有哪些? 熟悉 SpringData JPA 的朋友都知道当一个接口继承 JpaRepository 接口之后便自动具备了 一系列常用的数据操作方法,findAll, findOne ,save等。 那么仓储和DAO到底有什么区别呢?这就要提到一些遗留问题,以及一些软件设计方面的因素。在这次SpringForAll 的议题我能够预想到有很多会强调 SpringData JPA 具有方便可扩展的 API,像下面这样 public interface OrderReposit
如何拼接SQL语句,以及如何防止SQL注入攻击
qq_40922845的博客
01-20 7144
在书写SQL语句(或者其他语句)的过程,有时需要将形参放入准备好的SQL变量,就需要对语句进行拼接拼接方法如下,字符串需要整个用双引号包裹,形参需要暴漏在双引号外面,字符串跟形参之间用加号连接。下面对这个SQL语句进行分组分析: 正常的语句应该是这样:select * from test(表名) where uname="username" and upassword="password";...
SQL字符串拼接导致长度爆表
编程小学生
12-21 267
DECLARE @max VARCHAR(max) SET @max='aaa...' --这里有8000个a +'bb' --连接一个varchar常量或变量 SELECT LEN(@max) 别想当然以为它会返回8002,而是8000,select @max也只会得到8000个a,后面两个b没了。我们知道,varchar(max)类型不受字符数限制,但为什么会这样? 这其实与@max的数据类型无关,而是与字符串拼接后得到的数据类型有关,或者说,与字符串常量的数据类型推断有关。在S
代码里使用字符串操作来拼接sql语句的坏处
weixin_34345753的博客
01-19 159
1. 字符串操作更容易出错。 2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句错误的.如果...
拼接sql会出现的问题
博客
04-10 391
// 拼接sql时对象是nullsql会拼成'null' Object o = null; System.out.println(o); 最好不用拼接
Java如何使用Query动态拼接SQL详解
08-26
Java动态拼接SQL是指在Java使用Query语言来动态地构建和执行SQL语句,从而实现灵活的数据查询和处理。下面是关于Java如何使用Query动态拼接SQL的详细知识点: 1. 动态拼接SQL的必要性 在实际应用,我们经常...
易语言动态拼接sql语句
07-20
在编程领域,动态拼接SQL语句是一种常见的技术,它允许程序在运行时根据需要构建SQL查询。在易语言这个国本土化的编程环境,动态拼接SQL同样具有重要的应用价值。易语言以其独特的汉字编程风格,降低了编程的...
MyBatis 动态拼接Sql字符串的问题
09-01
在处理SQL时,动态SQL功能是MyBatis的一大亮点,它有效地解决了SQL字符串拼接问题,避免了手动拼接带来的错误和复杂性。 1. **If标签**:MyBatis的`<if>`标签用于条件判断,它允许我们在SQL语句根据Java对象的...
动态拼接sql语句.rar
04-06
动态拼接SQL语句在IT行业是一个常见的编程实践,尤其在数据库操作,它允许根据程序运行时的条件或变量来构建SQL查询。这一技术在处理复杂查询逻辑、灵活的数据筛选以及减少代码冗余等方面具有显著的优势。然而,...
SqlServer存储过程实现及拼接sql的注意点
12-15
在这个修正的版本,`cast()`或`convert()`函数用于将数值类型的变量转换为字符串,而字符串类型的变量`@field2`需要两个单引号('')来表示一个实际的单引号,因为单引号在SQL是特殊字符。 在创建和执行存储...
禁止在代码进行SQL拼接操作
hzp666的博客
02-14 1204
1.字符串操作更容易出错。 2.sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3.效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句错误的.如果使用类库提供的方法来设置参数,可以在编译时就设定参数的类型. 5. 倘若之后要修改sql语句,比如where条件里要多...
拼接SQL造成意想不到后果
weixin_33769207的博客
12-20 134
       执行数据操作时,由于拼接SQL存在种种弊端,早就应该抛弃了,但在现实开发时,又由于种种原因,公司一直采用这种方式(UI层和逻辑层都有严格的过滤,倒也没出现过什么问题),但昨天开发时却出现了意想不到问题,一个简单的语句会造成严重后果简单的语句示例如下: 更新主键为2的记录的总钱数的方法     /// &lt;summary&gt;    /// 更新主键为2的记录的总钱数...
后端代码在拼接SQL语句千万需要注意
糊糊和南风的博客
08-17 662
防止sql注入:防止黑客利用这个方法获取企业重要数据! 解决办法:用String.Format()函数以参数形式拼接 String sql = String.Format("SELECT * FROM A WHERE A_DJBH = '{0}'",a_djbh); SQL Injection攻击 可以将恶意代码插入到要传递给关系型数据库管理系统的用来分析和执行的字符串。任何构成SQL语句的过程都应进行注入漏洞检查,因为DBMS将执行其接收到的所有语法有效的查询。 DB:是指datebase(数据库)
SQL语句规避拼接风险的转换方式
New4eva的博客
12-08 355
SQL语句规避拼接风险的转换方式 List<Example> ExampleList= null; try { String sql =" select * from demo where status!=-1"; if (StringUtils.isNotEmpty(example)) { sql+=" and example='"+example+"'"; } Exa
java根据方法执行结果来判定要拼接sql语句详细讲解
最新发布
04-01
在Java,根据方法执行结果来判定要拼接SQL语句通常是在进行数据库操作时使用的一种常见的技巧。具体来说,这种技巧通常用于动态拼接SQL语句,以便根据不同的条件或者查询结果来生成不同的SQL语句。 例如,在进行查询操作时,我们通常需要根据不同的条件来生成不同的SELECT语句。如果查询条件为空,则可以生成一个简单的SELECT语句,如果查询条件不为空,则需要在SELECT语句加入WHERE子句来限制查询结果的范围。在这种情况下,我们可以使用如下的代码来实现: ``` public String buildSelectSql(String tableName, Map<String, Object> queryParams) { StringBuilder sb = new StringBuilder(); sb.append("SELECT * FROM ").append(tableName); if (queryParams != null && !queryParams.isEmpty()) { sb.append(" WHERE "); int index = 0; for (String key : queryParams.keySet()) { if (index > 0) { sb.append(" AND "); } sb.append(key).append("=").append(queryParams.get(key)); index++; } } return sb.toString(); } ``` 在这个方法,我们首先使用StringBuilder来创建一个初始的SELECT语句,然后根据传入的查询条件来判断是否需要拼接WHERE子句。如果查询条件不为空,则使用循环遍历查询条件,将其拼接到WHERE子句。 在实际使用,我们可以根据方法执行的结果来判断是否需要使用这个方法生成SQL语句。例如,我们可以使用如下的代码来查询一个用户的基本信息: ``` public User getUserById(int userId) { String sql = "SELECT * FROM user WHERE id=" + userId; //执行查询操作 //... //根据查询结果构造User对象并返回 } ``` 在这个方法,我们直接拼接了一个静态的SELECT语句,并将查询条件作为参数传入。然后根据查询结果来构造User对象并返回。 需要注意的是,直接拼接SQL语句可能存在SQL注入的风险,因此在实际使用应该尽量避免直接拼接SQL语句,而是使用预编译的SQL语句或者ORM框架来执行数据库操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值