利用formatter原理自动化参数化查询

最新推荐文章于 2024-03-22 14:27:14 发布
最新推荐文章于 2024-03-22 14:27:14 发布
阅读量176 收藏
点赞数
文章标签: 后端
原文链接:https://my.oschina.net/Jsonxu/blog/910219
版权

前言:对于经常忙于服务端开发的小伙伴来说,与DB层打交道是在正常不过的事了,但是每次页面的查询条件新增往往意味着后端代码参数化同比增长,当然你可以不使用sqlhelper自带的参数化条件查询,可以直接传递参数,这样一来,可能你写的代码就变少了,但是存在一个隐藏的问题就是sql注入,对于sql注入我想大家都并不陌生,相关资源和预防措施网上千篇一律,有兴趣可以自己去了解,常用的注入工具是sqlmapper,有兴趣的可以一并去了解。

那么你写代码既要保持代码的优雅,语句条数的少量,有想要保证代码的安全性能,不被轻易注入,有没有一种2种都能兼容的方式呢,在对于一般习惯拘泥于原有代码思维的人来看,可能并没有,但是习惯于从不同角度思考问题的人来说,条条大路通罗马,比如我下面说的这种就是基于.NET 自带的stirngfromatter原理来实现的一种自动化参数化查询~~

由于口头表述不是很好,我直接贴图来说明了,请看

这是原先的参数化查询

public PayOrderEntity GetPayOrderInfoById(int id)
        {
            PayOrderEntity parorderModel = new PayOrderEntity();
            List<SqlParameter> paramList = new List<SqlParameter>();
            string sql = @"select p.Id as pid
                    ,c.Id
                    ,c.UserId
                    ,p.OrderId
                    ,p.TransactionId
                    ,p.PayType
                    ,c.TotalPrice as orderprice
                    ,p.TotalPrice as payprice
                    ,c.[Status] as orderstatus
                    ,p.[Status] as paystatus
                    ,c.CreateTime 
                    ,p.PayTime
                    ,c.Remark as orderremark
                    ,p.Remark as payremark
                    from t_ContentOrder(nolock) c
                    left join t_Payment(nolock) p
                    on c.Id=p.OrderId where c.IsDeleted=0 and  p.IsDeleted=0 and p.Id= {0}";
            paramList.Add(new SqlParameter("@id", id));
            try
            {
                var dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, sql, paramList.ToArray());

                //使用重写后的DB驱动查询方法调用  by:xuja  2017-05-27 10:34:19
                //var dt = SqlQuery(sql, id);


                parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[0]);
            }
            catch (Exception ex)
            {
                Core.Log.TraceLogger.Error(ex);
            }
            return parorderModel;
        }

步骤一 先实例化一个sqlparams实体

步骤二 将满足条件的参数传入定义好的参数实体并赋值(可能需要条件验证)

步骤三 将填充完成后的参数对象传入调用的sqlhelper查询接口中

这样四步即可实现整个查询流程

看着流程也并不复杂,但是大家想过一个问题没,如果一个页面有6个以上的查询条件,是不是定义起来会很吃力,这种感觉我相信大家都会有,我也不列外 囧 ,接下来利用formatter原理我们在看看重构后的参数化查询代码

/// <summary>
        /// sql参数自动化拼接方法
        /// 创建人:xujiangan
        /// 2017-05-27 10:35:40
        /// </summary>
        /// <param name="sqlCommand">需要查询的sql</param>
        /// <param name="param">需要拼接的参数列表</param>
        /// <returns></returns>
        public Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param)
        {
            var tempKVDic = param.Select((item, i) => new KeyValuePair<string, object>("@an" + i, item)).ToDictionary(k => k.Key, v => v.Value);

            var tempSqlCommand = string.Format(sqlCommand, tempKVDic.Keys.ToArray());

            var tempParams = tempKVDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray();

            return Tuple.Create(tempSqlCommand, tempParams);
        }

方法的返回值因为不确定到具体类型,所以用了元组来定义了,元组的能力类似于dynamic T类型,这里就不多介绍了,参数的条件只有2个,1.要执行查询的sql语句 2.需要传递的参数化条件

代码逻辑:1.将参数列表利用键值对的方法一一对应组合,参数可以自动增长,组成参数列表字典;2.使用format方法将sql语句和参数字典拼接;3.将拼接好的查询字符串返回给调用方

原先接口并没有这次参数条件的重载 接下来,我们还学要重写一下sqlhelper执行查询的接口,如下:

/// <summary>
        /// 重写ExcuteQuery方法,便于自动话添加参数
        /// 创建人:xujiangan
        /// 2017-05-27 10:35:07
        /// </summary>
        /// <param name="sqlCommand">执行sql语句</param>
        /// <param name="param">需要新增的查询参数</param>
        /// <returns></returns>
        public DataSet SqlQuery(string sqlCommand, params object[] param)
        {
            var dt = new DataSet();
            if (param == null || param.Length == 0)
            {
                dt = SqlHelper.ExecuteDataset(write_connstring, sqlCommand, CommandType.Text);
            }

            var temp = ProcessSqlCommand(sqlCommand, param);

            dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, temp.Item1, temp.Item2);

            //object entity = DbTableConvertor<object>.ConvertToEntity(dt.Tables[0]);

            return dt;
        }

 

代码大家都能看懂,无非就是有参和无参两种情况做了区分,我就不解释了...

俗话说,欲善其事,必先利其器,有了上面的准备之后,我们就可以调用我们刚才重写的接口啦142513_wPp1_2291903.png

调用请看下面:

public PayOrderEntity GetPayOrderInfoById(int id)
        {
            PayOrderEntity parorderModel = new PayOrderEntity();
            string sql = @"select p.Id as pid
                    ,c.Id
                    ,c.UserId
                    ,p.OrderId
                    ,p.TransactionId
                    ,p.PayType
                    ,c.TotalPrice as orderprice
                    ,p.TotalPrice as payprice
                    ,c.[Status] as orderstatus
                    ,p.[Status] as paystatus
                    ,c.CreateTime 
                    ,p.PayTime
                    ,c.Remark as orderremark
                    ,p.Remark as payremark
                    from t_ContentOrder(nolock) c
                    left join t_Payment(nolock) p
                    on c.Id=p.OrderId where c.IsDeleted=0 and  p.IsDeleted=0 and p.Id= {0}";
            try
            {
                //使用重写后的DB驱动查询方法调用  by:xuja  2017-05-27 10:34:19
                var dt = SqlQuery(sql, id);
                parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[0]);
            }
            catch (Exception ex)
            {
                Core.Log.TraceLogger.Error(ex);
            }
            return parorderModel;
        }

 

是不是发现少了什么?没错,我们此时不再需要定义繁杂的sqlparams对象拉,直接传递参数即可,有多少传多少,如果太多可以定义数组或者参数实体传递哦~

PS:注意sql代码语句中参数位置改为占位符!!!

到此为止,整个自动化参数化查询基本上就结束了,有问题可以给我留言指出,共勉142513_2Kiv_2291903.png

项目目前已经应用到 admin.kk.net 支付订单详情页面查询,经多番测试,并没有发现什么问题,看来是可以用的。

建议sql代码大小写一致,保持只解析一次。

高山仰止,景行行止

by:Jsonxu

转载于:https://my.oschina.net/Jsonxu/blog/910219

chuangfanqian7310
关注
数据查询--参数化查询
cfsht的博客
11-06 631
----------------------------------配置文件------------------------------------------------------------------------------                         ---------------------------------Pr
sql-formatter:格式化SQL语句
05-22
SQL格式化程序 这是什么? 格式化SQL语句。格式化从标准输入接收SQL语句,并将其输出到标准输出。 使用例 echo " SELECT * FROM HOGE WHERE HOGE.FUGA = :fuga " | java -jar target/sql-formatter-1.0.1-jar-with-dependencies.jar 输出结果 SELECT * FROM HOGE WHERE HOGE.FUGA = :fuga 依赖库 我正在使用Hibernate的org.hibernate.engine.jdbc.internal.BasicFormatterImpl。 参考网址 二进制的 如果编译很麻烦,请下载二进制目录下的jar。 与Emacs合作 Emacs允许您将区域的内容传递给外部命令,并使用结果重写缓冲区。使用它来格式化Emacs上SQL语句。
sql-formatter -- 格式化sql数据
最新发布
m0_67011584的博客
03-22 1489
首先你需要一个可以展示代码的组件;我使用的是tech-ui(内部组件库);
formatter:源代码格式化程序-Form source code
03-25
"Formatter"是一个基于C++/CLI的桌面应用程序,这意味着它利用了微软.NET框架的组件,同时保留了C++的语法和特性,以提供对Windows操作系统的原生支持。 在编程中,源代码的格式化涉及到缩进、空格、换行、注释布局...
JSONFormatter:Web的JSON格式化程序
05-06
1. **自动格式化**:输入或粘贴未经格式化的JSON数据,JSONFormatter会将其重新排列,使得键值对对齐,缩进清晰,易于阅读。 2. **颜色高亮**:不同类型的值(如字符串、数字、布尔值、null、对象、数组等)会被...
【Python自动化测试】:使用getopt模块处理测试脚本参数
[【Python自动化测试】:使用getopt模块处理测试脚本参数](https://trspos.com/wp-content/uploads/modulo-python-getopt.jpg) # 1. Python自动化测试基础 在现代软件开发中,自动化测试是确保产品质量和提高开发...
接口测试+自动化接口测试详解入门到精通
HB8888888的博客
04-10 4649
1:json模块的使用   字典是一种存储类型,json是一种格式(完全不同)   json.loads()函数是将json字符串转化为字典(dict)   json.dumps()函数是将字典转化为json字符串   json.dump()和json.load()主要用来读写json文件函数 2:接口自动化测试概叙   什么是接口测试:   前后端不分离:淘宝网站(响应的数据在页面,访问响应的数据是html的)返回的是一整个html(做接口难,需要解析数据,因为返回的是整个html代码)   前
vue+codemirror 实现SQL编译器并使用及sql-formatter格式化sql语句
小猫爪子
06-18 6656
需求:实现一个SQL编辑区,通过左侧选择自动生成SQL语句。 这里写目录标题codemirror代码编辑器使用已经封装好的组件,可自行配置参数直接复制使用。(使用的idea主题)二级目录SQL代码格式化功能SQL代码格式化遇到的bug codemirror代码编辑器使用 已经封装好的组件,可自行配置参数直接复制使用。(使用的idea主题) //封装好的组件 <template> <div class="json-editor"> <textarea ref="t
SQL 用于各种数据库的数据类型
Lilbear
06-24 515
MySQL 数据类型 在 MySQL 中,有三种主要的类型:Text(文本)、Number(数字)和 Date/Time(日期/时间)类型。 Text 类型: 数据类型 描述 CHAR(size) 保存固定长度的字符串(可包含字母、数字以及特殊字符)。在括号中指定字符串的长度。最多 255 个字符。 VARCHAR(size)
avue select组件的options数据通过请求接口地址并对数据进行格式化处理
killerdoubie的博客
07-13 662
avue select组件的options数据通过请求接口地址并对数据进行格式化处理
AVUE样式、刷新、字典、清空搜索条件等操作
qq_42440919的博客
05-16 2618
2、下拉框字典的设置3、日期格式的设置if (!
初识前端搬砖神器--AVUE
程序小白进阶之路
07-18 2911
最近在开发项目过程中使用到了框架AVUE,他是基于elementUI和VUE高度封装后的框架,其特点是省时、省力(避免大量的CV操作),刚开始可能有些许的不习惯,使用了几天熟悉后就会感受到快乐了~下面我把使用属性分别用中文标示出来供大家查阅。...
为什么参数化查询可以防止SQL注入?(转)
weixin_30814319的博客
05-09 617
昨天被某大牛问了一个问题,为什么SQL参数化查询可以防止SQL注入,参数化查询原理是什么? 结果闷逼了,之前只知道参数化查询是可以防止SQL注入,但是没有深究其原理,今天就找一些文章,学习一下,也分享给大家。 以下引用知乎大神们的回答: 原理是采用了预编译的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,...
有关list和dic包含中文字符时出现乱码的解决办法
jairana的博客
10-21 1572
python处理utf8编码中文
jqGrid formatter属性详解
旭东怪的博客
01-05 4103
1 formatter属性 formatter属性支持自定义单元格内容。 语法: formatter:function(cellvalue,options,rowObject){ return ""; } 参数详解: (1)cellvalue,当前单元格的值 (2)options,该cell的options设置,包括{rowId, colModel,pos,gid} (3)rowObject,当前cell所在row的值,是一个对象 2 cellvalue 给当前值以%结尾。 fo
参数化查询为什么能够防止SQL注入
weixin_33728268的博客
01-15 409
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。 本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。   首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理 在这里,我简单的表示为: 收到指令 -&gt; 编译SQL生成执行计...
VSCode配置Vue+Vetur+ESLint+Prettier自动化格式化详解
在VSCode中配置Vue项目,利用vetur、eslint和prettier自动化格式化功能,能显著提升开发效率和代码质量。本文将深入讲解如何配置这些工具以实现保存时的自动格式化。 首先,Vetur插件是VSCode集成的Vue支持,它负责...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值