在模糊查询中过滤容易引发SQL语句执行异常的符号

最新推荐文章于 2022-09-12 03:38:36 发布
最新推荐文章于 2022-09-12 03:38:36 发布
阅读量1.9k 收藏
点赞数
分类专栏: Data 文章标签: sql string class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinbinhan/article/details/1586305
版权

比如在A表中的USERID中有admin% 和admin这2个帐号。

用模糊查询出包含%的帐号

语句如下

SELECT A. USERID

FROM A 

WHERE A. USERID  LIKE  '%输入的查询字符%'

如果“输入的查询字符”为 “%”

执行语句后会同时返回 admin%和admin这个帐号,结果显然不是我们需要的。

因为%为通配符。

同理如果输入“‘”则会报出SQL语句执行错误。因此我们需要对“输入的查询字符”进行字符串过滤方法如下:

 

     public   class  Constant
     {
        public static string ReplaceSqlLike(string strQuery)
        {
            string strRet = strQuery;
            strRet = strRet.Replace("/","//");
            strRet = strRet.Replace("'","''");
            strRet = strRet.Replace("%","/%");
            strRet = strRet.Replace("[","/[");
            strRet = "'%" + strRet + "%' escape '/'";
            return strRet;
        }
    }

更正后的语句如下

SELECT A. USERID

FROM A 

WHERE A. USERID  LIKE   Constant.ReplaceSqlLike("输入的查询字符”)

Somnus
关注
专栏目录
SQL优化通用类/特殊字符过滤/优化查询排序/异常记录
09-12
SQL/SqlParameter特殊字符过滤/优化查询排序/异常记录row_number()over(order by {1})as row 排序 not in 排序 SQL查询、更新、插入、分页排序,存储过程调用
JDBC模糊查询报错
qq_50794782的博客
03-31 542
报错信息: Parameter index out of range (3 > number of parameters, which is 2).
经常因为殊字符的问题导致查询异常
编程资料收集与共享交流
05-10 751
在日常的数据库软件开发,有一些个特殊字符挺烦人。     比如 '  (单引号),如果有这个字符内就有问题。在构建SQL语句的时间就要特殊处理它。     为了解决这个问题当然还有其它的方法,在这里我想从根源上解决,就是在保存数据时就自动替换为全角字符 function PUBF_ConvertSpecialChar(const s:string):string; var nleng
一个未知符号导致的SQL语句错误
weixin_42559495的博客
07-01 337
话不多说 上图 这是某本代码书提供的sql脚本 当然下面还有一些sql语句是插入信息的,不是问题所在,所以就不放图了 我们用navicat连接到数据库 然后导入sql脚本试一下 发现 它竟然报错了 这么简单的sql语句 它竟然报错 就这一个错误浪费了我四个小时的时间 后来我无意间删除了一个本以为是空格的未知符号它竟然不报错了! 这个未知符号就是我画红圈的地方 我怎么也想不到就是这个未知符号导致了报错! 下面我们删除这个未知符号 注意:我使用十六进制工具观察了这个符号 明确肯定这不是空格 而是一个不被
服务器上模糊查询出现错误
过客的博客
11-15 637
本地测试没问题,服务器出现问题 解决方案: jdbc连接处 jdbc:mysql://localhost:3306?allowMultiQueries=true 改为 jdbc:mysql://localhost:3306?useUnicode=true&characterEncoding=UTF-8&allowMultiQueries=true 服务器
Python使用sql语句对mysql数据库多条件模糊查询.pdf
11-27
在上面的代码,我们使用 `query` 函数执行 SQL 语句并获取查询结果。 获取查询结果 获取查询结果可以使用 Python 的列表类型实现。例如: ``` list= [] for i in res: list.append(i) return list ``` 在上面的...
SqlServer模糊查询对于特殊字符的处理方法
09-09
SQL Server模糊查询是通过`LIKE`关键字来实现的,它允许我们使用通配符来匹配字符串数据。然而,当我们的查询涉及到特殊字符时,可能遇到问题,因为这些字符在`LIKE`表达式有特定的含义。本文将详细讨论...
日常收集常用SQL查询语句大全
09-10
本文主要介绍了一些日常工作常见的SQL查询语句,包括简单查询和复杂查询,对于数据库管理、数据分析和开发人员来说非常实用。 1. **查看表结构**:使用`DESC`命令可以查看数据库表的列名、数据类型和其他相关信息...
基于SQL的数据查询语句汇总
09-10
1. **WHERE条件表达式**:在SQL查询语句,WHERE子句用于指定筛选条件,只返回满足条件的记录。例如,`SELECT * FROM student WHERE realName LIKE '张%'` 将返回所有名字以"张"开头的学生记录。 2. **统计函数**...
ASP巧用Split()函数生成SQL查询语句的实例
10-26
在构建SQL语句的过程,使用了LIKE关键字和通配符“%”来实现模糊查询,这意味着在“商场名”、“快餐店名”或“报停名”只要包含查询的值即可匹配到数据。 循环结束后,我们还需要对结果进行排序,示例使用的...
mybatis模糊查询报错
linry的博客
09-07 1276
 模糊查询报错 org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.type.TypeException: Could not set parameters for mapping: ParameterMapping{property='name', mode=IN, javaType...
[后端]Mybatis 使用注解进行模糊查询报错
weixin_43071838的博客
07-04 809
后端模糊查询失败, 未生效解决思路
屏蔽用户输入查询通配符‘%’或‘_’
红尘浪子的专栏
08-07 1932
问题:在模糊查询SQL语句,如果有用户输入查询通配符‘%’,使用 select * from table where code like '%condition%'的SQL查出全部记录,这个如何解决? if(!StringUtils.isEmpty(_cname)){ /** 处理模糊通配符%和_ */ sql.append("
mybatis关于使用like关键字进行模糊查询的一个大坑
qq_34653685的博客
07-31 652
由于功能需求,我需要使用like关键字进行模糊查询,一样的sql在数据库都能运行,而且日志也没错,一般考虑到文和数据库交互一定要注意与数据库链接的url是否设置了字符集,正确的格式如下: 一定需要这个,否则文传到数据库那边就乱码了,这个错误真的很难发现,有的显示utf8,我这里没有效果。 参考的博文链接: https://www.jianshu.com/p/68ec07cdd455 ...
撇号导致SQL字符串的错误:解决方案
IT与开发人员的地盘
05-17 251
使徒 您是否曾经尝试过将字符串变量发送给在SQL语句嵌入了撇号的MS Access? 如果是,您将获得运行时错误。 这是您的解决方案,该函数在将变量发送到数据库之前对其进行格式化。 PublicFunctionApostrophe(sFieldStringAsString)AsString IfInStr(sFieldString,"'")Then Di...
SQL语句实现模糊查询
m0_67391120的博客
09-12 4365
深知大多数初级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
模糊查询失败
Ssucre的博客
03-30 694
1.模糊查询select name from tbl_customer where name like '%'#{name}'%'如果百分号和要查询的字符串此处指(#{name}) 没有用空格隔开那么导致查询不到数据。 JDBC Connection [com.mysql.jdbc.JDBC4Connection@5ad1eca4] will be managed by Spring ==> Preparing: select name from tbl_customer where name
第 05 篇 如何使用 SQL 语句进行模糊查找?
Tony.Dong的专栏
09-22 1229
SQL 支持使用模式匹配对文本内容进行模糊查找,主要的方式有两种:LIKE 运算符和正则表达式函数或运算符。其,LIKE 运算符通用性更好,但是需要注意区分大小写的问题;正则表达式函数功能更强大,但是依赖于不同数据库的实现。
模糊查询sql注入语句
最新发布
04-09
模糊查询是一种在SQL语句使用通配符来匹配模式的查询方式。然而,如果不正确地处理用户输入,模糊查询也可能导致SQL注入攻击。SQL注入是一种利用恶意构造的SQL语句来绕过应用程序的安全机制的攻击方式。 为了防止SQL注入攻击,以下是一些防范措施: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入作为参数传递给SQL查询,而不是将其直接拼接到SQL语句。这样可以防止恶意输入被解释为SQL代码。 2. 输入验证和过滤:对用户输入进行验证和过滤,确保只接受预期的输入。可以使用正则表达式或其他验证方法来检查输入是否符合预期的格式和类型。 3. 使用安全的数据库访问框架:使用经过安全测试和广泛使用的数据库访问框架,这些框架通常提供内置的安全机制来防止SQL注入攻击。 4. 最小权限原则:确保数据库用户只具有执行必要操作的最低权限。这样即使发生SQL注入攻击,攻击者也无法执行敏感操作。 5. 日志记录和监控:实施日志记录和监控机制,及时检测和响应潜在的SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值