Oracle execute immediate 拼接条件 参数化

最新推荐文章于 2022-07-11 09:55:51 发布
最新推荐文章于 2022-07-11 09:55:51 发布
阅读量6.5k 收藏 6
点赞数
分类专栏: Oracle 学习笔记 文章标签: execute immediate execute immediate 防注 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaoSe_307/article/details/71002923
版权
在将项目数据库切换到Oracle的过程中,了解到execute immediate用于动态执行SQL。文章指出,为防止SQL注入,不应直接拼接参数值,而应采用参数化的方式。文中提供了一个存储过程示例,旨在帮助Oracle初学者理解如何安全地使用execute immediate。
摘要由CSDN通过智能技术生成

最近在将项目的数据库改成Oracle,本人对Oracle也是一无所知,边做边摸索。

在使用 execute immediate 动态执行SQL分页,发现网上很多例子都是通过参数值直接拼接成SQL来执行。

对于Oracle新手来说,好像Oracle没有类似 SQLServer exec sp_executesql 参数化查询这样的功能。

例如:

declare
  p_accountnum  varchar2(100);
  p_groupid     integer;
  p_recordcount integer;
  p_select      varchar2(500);
begin
  p_accountnum := 'gh_xxxxxxxxx';
  p_groupid    := 109;
  p_select     := 'select count(*) from wxuser where 1=1 and accountnum =''' ||  p_accountnum || ''' and groupid =' || p_groupid;
  execute immediate p_select into p_recordcount;
  dbms_output.put_line(p_recordcount);
end;

这样很明显的一样问题,如果参数p_accountnum存在SQL特殊字符,就会出现SQL注入了。当然你也可以在项目程序中对SQL特殊字符进行过滤。

但有时候在写程序中,可能因各种不小心会忘记对SQL特殊字符过滤,所以最可靠的办法就是直接将值参数化,不通过参数值直接拼接成SQL来执行。

这是我写的一个

最低0.47元/天 解锁文章
阿文丶
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EXECUTE IMMEDIATE和Using的用法
zl的博客
04-25 8806
一、 EXECUTE IMMEDIATE的作用:         简单来说 就是你一个存储过程当中 创建了一个表 table_a 然后要用insert into将其他的数据插入到这个table_a当中,但是因为你在创建过程的时候 table_a还不存在,过程就会显示有编译错误,因为table_a不存在必然导致过程无法执行,所以无法编译成功,而把insert into语句加如到 execute
如何查询哪个存储过程中有引用包含 execute immediate语句
最新发布
gongjin28_csdn的博客
05-18 934
Oracle数据库中,可以利用`DBMS_METADATA.GET_DDL`函数获取存储过程的定义文本,然后通过文本搜索查找`EXECUTE IMMEDIATE`。这里将介绍几种方法来查询存储过程中是否包含了`EXECUTE IMMEDIATE`语句,并通过实际应用场景展示其用法及优缺点。
oracle execute immediate
linminqin的专栏
07-13 1398
转自:http://blog.sina.com.cn/s/blog_621a2bdf0100gayl.html当我们碰到有一类存储名称和过程的参数上都相似时,可以使用execute immediate来动态执行这些存储过程,在这次的项目中我有一类用“P_InsertInto_”开
一个存储过程:带参数动态执行sql语句:Execute Immediate
lcllcl987的专栏
08-04 3786
根据客户需要,我们增加了一个统计表,用来汇总统计数据,统计数据的产生,需要根据一个基本表,动态执行sql语句.在存储过程中,动态生成sql语句然后执行,需要用到Execute Immediate命令.我想写一个通用的统计用存储过程,似乎不大好办,if语句的应用在所难免了.呵呵.特此存档.create or replace procedure P_INSERT_XT_TJ_MX(sDate in v
oracle execute immediate 用法
wushijuewu
08-09 762
1. 在PL/SQL运行DDL语句 begin execute immediate 'set role all'; end; 2. 给动态语句传值(USING 子句) declare l_depnam varchar2(20) := 'testing'; l_loc varchar2(10) := 'D?i'; begin execute immediate 'insert into dept vals
Oracleexecute immediate的用法
qq_27524147的博客
07-11 5760
execute immediate的用法
OracleEXECUTE IMMEDIATE用法
10-25
Oracle数据库中,`EXECUTE IMMEDIATE`是一个非常强大的特性,允许在运行时动态执行SQL语句或PL/SQL块。这一功能自Oracle 8i版本的DBMS_SQL包引入以来,极大地增强了PL/SQL的灵活性和动态性。通过`EXECUTE ...
EXECUTE IMMEDIATE用法小结
09-11
`EXECUTE IMMEDIATE`是Oracle数据库中的一个关键特性,用于执行动态SQL语句或PL/SQL块。在Oracle 8i之前,`DBMS_SQL`包是处理动态SQL的主要工具,但`EXECUTE IMMEDIATE`的引入提供了一种更简单、更高效的替代方案。...
oracle动态sql之EXECUTE IMMEDIATE.docx
05-15
Oracle 动态 SQL 之 EXECUTE IMMEDIATE Oracle 动态 SQL 中的 EXECUTE IMMEDIATE 语句是数据库中执行动态 SQL 语句或非运行时创建的 PL/SQL 块的重要工具。与 DBMS_SQL package 相比,EXECUTE IMMEDIATE 使用较...
动态SQL之EXECUTE IMMEDIATE
03-30
总之,动态SQL中的EXECUTE IMMEDIATEOracle数据库开发中的重要工具,它提供了在运行时构建和执行SQL语句的能力,极大地扩展了PL/SQL的灵活性。但在使用过程中,应谨慎对待SQL注入风险,并确保遵循最佳实践,以提高...
execute immediate 用法研究
07-07
Execute ImmediateOracle 中的一个功能强大且灵活的语句,它可以解析并马上执行动态的 SQL 语句或非运行时创建的 PL/SQL 块。 Execute Immediate 的目标是减小企业费用并获得较高的性能,较之以前它相当易于编码...
oracle 变量 做表名,oracleexecute immediate以及如何用变量作为表名查询
weixin_30393279的博客
04-14 1346
简单来说 就是你一个存储过程当中 创建了一个表 table_a 然后要用insert into将其他的数据插入到这个table_a当中,但是因为你在创建过程的时候 table_a还不存在,过程就会显示有编译错误,因为table_a不存在必然导致过程无法执行,所以无法编译成功,而把insert into语句加如到 execute immediate之后 则oracle不会再去理会这个对象是否存在,因...
EXECUTE IMMEDIATE 调用动态过程
01-02 94
v_str := 'begin '||trim(proc_name)||'(:1,:2); end;';EXECUTE IMMEDIATE v_str USING IN :NEW.bill_id,IN OUT v_out_mes...
解决oracle绑定变量重复,oracle – 使用EXECUTE IMMEDIATE和多个相同的绑定参数
weixin_34050521的博客
04-04 379
当我创建以下过程时create or replace procedure check_exec_imm(tab IN VARCHAR2,col IN VARCHAR2,col_name IN VARCHAR2)IScv SYS_REFCURSOR;col_value VARCHAR2(32767);lv_query VARCHAR2(32767);BEGINlv_query := 'SELEC...
execute immediate的语法
bear_79的专栏
08-25 3196
execute immediate的语法如下: execute immediate 'sql'; execute immediate 'sql_select' into var_1, var_2; execute immediate 'sql' using [in|out|in out] bind_var_1, [in|out|in out] bind_var_2; execute imm
PL/SQL中execute immediate的简单用法
郭宇的博客
06-04 6632
create or replace procedure proc_test( --参数区域 ) is --变量区域 --sql脚本 v_sql varchar2(2000) :=''; --记录学生数量 v_num number; begin --执行区域 -- execute immediate用法1:立刻执行sql语句 v_sql := 'cr...
oracle execute immediate create,ORACLE EXECUTE IMMEDIATE 用法详解
weixin_36358109的博客
04-04 567
最近工作中有用到存储过程,关于存储过程其中EXECUTE IMMEDIATE在实际开发中用到的还是比较多的 于是乎就把自己在用到时存在的用法及问题在这里总结一下:如果在存储过程中 有需要创建表格 更改表结构等操作的时候 并且在接下去的操作需要用到新的表或者结构等问题的时候 必须要使用EXECUTE IMMEDIATE 去执行SQL语句,否则由于oracle的机制则会提示报错,表或者表结构未创建或为...
Oracleexecute immediate使用注意
liuxiangke0210的专栏
11-27 3040
execute immediate 中   1.拼接的动态sql  结尾不能有分号 2.拼接的sql中不能into 赋值,如果需要赋值,需要使用 execute immediate  v_sql into v_max_stat_time ; 3.拼接的sql中 注意空格。 4.变量部分需要替换上。 -- 细节动态语句里面不需要分号 -
oracle 动态拼接,执行sql
我笔记
09-17 6746
一、静态SQL和动态SQL的概念。   1、静态SQL   静态SQL是我们常用的使用SQL语句的方式,就是编写PL/SQL时,SQL语句已经编写好了。因为静态SQL是在编写程序时就确定了,我们只能使用SQL中的DML和事务控制语句,但是DDL语句,以及会话控制语句却不能再PL/SQL中直接使用,如动态创建表或者某个不确定的操作时,这就需要动态SQL来实现。   2、动态SQL   动态SQL是指在PL/SQL编译时SQL语句是不确定的,如根据用户输入的参数的不同来执行不同的操作。编译程序对动态语句
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值