sql参数查询的注意点

最新推荐文章于 2024-02-21 15:12:54 发布
最新推荐文章于 2024-02-21 15:12:54 发布
阅读量950 收藏
点赞数
分类专栏: 数据库随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xufox/article/details/8664415
版权

      参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。

      在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。

      为了提高参数化sql执行速度,请为SqlParameter参数加上SqlDbType和size属性。在参数化查询代码编写过程中很多开发者忽略了指定查询参数的类型,这将导致托管代码在执行过程中不能自动识别参数类型,进而对该字段内容进行全表扫描以确定参数类型并进行转换,消耗了不必要的查询性能所致。根据MSDN解释:如果未在size参数中显式设置Size,则从dbType参数的值推断出该大小。如果你认为上面的推断出该大小是指从SqlDbType类型推断,那你就错了,它实际上是从你传过来的参数的值来推断的,比如传递过来的值是"username",则size值为8,"username1",则size值为9。那么,不同的size值会引发什么样的结果呢?且经测试发现,size的值不同时,会导致数据库的执行计划不会重用,这样就会每次执行sql的时候重新生成新的执行计划,而浪费数据库执行时间。

      例如:comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar) { Value = "username1" });
                 comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar,50) { Value = "username" });//建议使用

XueminXu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5.5 参数查询
复行数十步
07-21 3643
目录 1.单参数查询 (1)创建查询​ (3)运行 (4)结果 2.两个以上的参数查询 (1)添加查询条件​ (2)运行 (3)结果 条件固定的常数并不能满足实际工作的需要.在实际使用中,很多情况下要求灵活地输入查询的条件。在这种情况下就需要使用参数查询了。参数查询在运行时,灵活输入指定的条件,查询出满足条件的信息。例如,到图书馆查书,往往需要按书名或者根据作者名查询。这类查询不足事前在查询设计视图的条件中输入某一书名,而足根据需要在查询运行中输入某一书名或...
浅析SQL Server参数化查询
12-14
SQL Server参数化查询是一种编程技术,它允许开发者创建可重用的SQL语句,其中的变量部分通过参数来传递。这种技术对优化查询...在编写参数化查询时,务必注意指定参数类型和长度,这将是优化数据库性能的关键一步。
mysql参数化sql语句_mybatis的sql参数化查询
weixin_39716510的博客
02-08 837
我们使用jdbc操作数据库的时候,都习惯性地使用参数化sql与数据库交互。因为参数化sql有两大有,其一,防止sql注入;其二,提高sql的执行性能(同一个connection共用一个的sql编译结果)。下面我们就通过mybatis来分析一下参数化sql的过程,以及和非参数化sql的不同。注意:①本次使用wireshark来监听网卡的请求,测试过程中,如果使用的是本地的mysql的话,jav...
sql 参数化查询
weixin_30477293的博客
12-16 156
  在初次接触sql时,笔者使用的是通过字符串拼接的方法来进行sql查询,但这种方法有很多弊端 其中最为明显的便是导致了sql注入。   通过特殊字符的书写,可以使得原本正常的语句在sql数据库里可编译,而输入者可以达到某些非法企图甚至能够破坏数据库。   而参数化查询有效解决了这个问题,参数化查询是通过将传入的sql语句其他部分进行编译后再将其需要查询的数据插入其中然后...
SQL 查询注意事项
weixin_30344995的博客
06-02 141
1,多条件排序用“,”来执行, 例子: 以Cno升序、Degree降序查询Score表的所有记录。select * from Score order by Cno,Degree desc 2,SQL server 没有limit语句但有类似的top语句例子 1 select top 1 Sno,Cno from Score 2 order by Degree desc ...
SQL Server 中数据查询注意事项
weixin_30889885的博客
12-19 234
1.查询语句不用区分大小写,而且即使每张表的表名或者列名出现大写字母,在写查询语句的时候也不用区分大小写,查询结果保持一致,所以查询语句小写即可。 2.在写查询语句的时候列名不需要带单引号,数值型的字符串不用带引号,需要带引号的是字符型和汉字型的字符串。 3.如果既要用到group by子句,也要用到order by子句,需要先使用group by子句,然后使用order by子句,否则查询会...
SQL Server参数化查询大数据下的实践
12-14
SQL Server参数化查询在大数据场景下是提升查询性能和确保数据安全的重要手段。在传统的编程方式中,我们常常用字符串拼接的方式构造SQL语句,比如`WHERE IN`子句,这种方式在处理少量数据时是可行的,但在面对几百...
SQL查询效率注意事项小结
09-11
以下是一些关于提升SQL查询效率的关键注意事项: 1. **精确的查询条件**:在编写SQL语句时,确保查询条件尽可能精确,避免全表扫描。如果查询涉及参数,确保参数化查询以减少解析时间。 2. **理解SQL逻辑执行顺序*...
SqlServer参数化查询之where in和like实现详解
09-11
SQL Server中,参数化查询是一种优化查询性能的重要方法,尤其是在处理大量数据时。它能够防止SQL注入攻击,并且能够更好地利用数据库的查询缓存,提高执行效率。本文将详细讲解如何实现`WHERE IN`和`LIKE`操作的...
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
sql参数化查询
weixin_34347651的博客
05-31 134
sql参数化查询已被视为最有效可预防SQL注入攻击(SQL Injection) 的攻击手法的防御方式 【参考】http://zh.wikipedia.org/wiki/%E5%8F%82%E6%95%B0%E5%8C%96%E6%9F%A5%E8%AF%A2 【参考】http://baike.baidu.com/view/3061939.htm 有部份的开发人员可能会认为使用参数...
SQL(参数化)的查询
07-30 5146
什么是参数化查询? 一,定义 参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可
SQL参数化查询讲座 (三)
王小鉴的专栏
07-28 1733
参数化查询得到各种主流编程语言和开发工具的广泛支持。后续的章节我们将结合实例学习如何使用参数化查询。由于笔者水平有限,不可能掌握所有这些编程语言,只能在这里抛砖引玉,仅分别用C#和VB给出ADO.NET、ADO中参数化查询的例子。如果学习VC的同学也对数据库访问感兴趣,也可以补充ODBC方面的示例。欢迎其他老师和同学进一步说明Java、Delphi、Python等语言中的参数化查询方法。也欢迎各位
SQL参数化查询讲座 (八)
王小鉴的专栏
08-06 1468
如果程序中使用数据库存储过程,则更应该使用参数化查询。很多数据库在使用存储过程时,其OLEDB驱动程序能自动解析所需的参数,根本不需要明确调用CreateParameter方法,直接给对应的参数赋值即可执行。下面的例子中,程序访问到本机MS SQL Server服务器的pubs数据库,执行数据库中的ByRoyalty存储过程。该存储过程返回给定忠诚度的顾客信息,忠诚度为该存储过程唯一的输入参数(这
mybatis数据查询注意事项
chali1314的博客
11-20 189
记录mybatis数据查询的一些坑,以防后续继续犯错 List<Base> list = mapper.queryOrders(queryParams); if(null == list) return null; 这里需要注意查询结果为集合时,如果没有查询到数据,返回的不是null,而是空集合 Basebase = mapper.queryOrder(queryParams); 这里需要注意,如果查询结果为对象时,没有查询到数据,返回的对象为null,需要进行非空判...
NET中应用SQL参数化时当要注意的一些细节问题
sky 胡萝卜星星
12-18 3526
在通过ADO.NET与SQL进行数据交互时,为了防止SQL注入,一般采用参数化的方式,而SqlParameter对应的构造函数如下 // 摘要: // 初始化 System.Data.SqlClient.SqlParameter 类的新实例。 public SqlParameter(); // // 摘要:
参数化查询在什么情况下可能被利用来执行恶意攻击?
最新发布
wddblog的博客
02-21 371
如果开发者没有正确地使用参数化查询,或者没有将所有用户输入都作为参数处理,那么恶意输入仍然有可能被解释为SQL代码的一部分。例如,如果开发者错误地将一部分用户输入直接拼接到SQL语句中,而不是使用参数化查询,那么SQL注入攻击就有可能成功。例如,如果攻击者能够利用其他漏洞获取到数据库用户的凭据,并且该用户具有执行恶意操作的权限,那么即使使用参数化查询,攻击者仍然可能执行恶意SQL语句。然而,即使使用参数化查询,仍然有可能在某些情况下受到攻击,但这通常是由于其他安全漏洞或不当的使用方式造成的。
参数化查询原理
王如霜
02-08 6450
机房重构敲组合查询时,会遇到多个操作符(+、-、*、/),因为之前在使用参数化查询时只要遇到给数据库赋值时就使用参数,(光知道这样能防止SQL注入,直到如今才知道它为什么能防止SQL注入)索性就把操作符也用成参数,但这时就报“语法错误”了,可是解决了很长时间,老以为是sql语句写错了(自我认为是那种丢掉一个空格或引号之类的错误),其实是没真正理解之前听到到“防SQL注入”的原理,或是说为什么能“防
sql语句模糊查询like 带参数
05-27
好的,您可以这样写一个带参数的模糊查询语句: ``` SELECT * FROM table_name WHERE column_name LIKE CONCAT('%', ? ,'%') ``` 注意:这是使用占位符的方式,具体的参数值会在执行查询的时候传入。其中,`?` 表示参数占位符,可以根据实际情况进行修改。在执行查询时,需要将具体的参数值传入到 `?` 所在的位置。例如,如果要查询包含关键字 `apple` 的数据,可以这样执行查询: ```python import pymysql # 连接数据库 conn = pymysql.connect(host='localhost', user='root', password='password', database='test') # 创建游标对象 cursor = conn.cursor() # 执行查询 sql = "SELECT * FROM table_name WHERE column_name LIKE CONCAT('%', %s, '%')" params = ('apple',) cursor.execute(sql, params) # 获取查询结果 result = cursor.fetchall() # 关闭游标和连接 cursor.close() conn.close() ``` 在这个示例中,`%s` 表示一个参数占位符,它会在执行查询时被替换成 `'apple'`。执行完查询后,可以使用 `cursor.fetchall()` 方法获取查询结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值