对传入where条件的sql语句进行参数化处理

最新推荐文章于 2023-03-28 13:51:29 发布
最新推荐文章于 2023-03-28 13:51:29 发布
阅读量3.4k 收藏
点赞数
分类专栏: .NET 文章标签: 参数 sql 文章标题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l403256384/article/details/44833333
版权 
一般对sql参数化处理都是在sql语句执行的地方对所要输入的参数进行参数化已防止注入。但有时候会碰到一些特殊情况。一些老的项目可能会在逻辑处理的地方执行sql语句

而sql语句的where条件来自web层调用此方法的地方。
针对这种情况需要对where条件进行处理。我采用的是对where条件进行拆分处理组装List和where语句。
首先通过递归对条件进行拆分。

 public void GetArrow(int start, string str, ref List<SubIndex> list, string chars)
        {
            if (start == str.LastIndexOf(chars))
            {
                list.Add(new SubIndex { Index = start, Tag = chars.Trim() });
                return;
            }

            int i = str.LastIndexOf(chars);
            list.Add(new SubIndex { Index = i, Tag = chars.Trim() });
            str = str.Substring(0, i);

            GetArrow(start, str, ref list, chars);
        }

得到一个List
SubIndex为一个辅助处理的类

    public class SubIndex
    {
        public int Index { get; set; }
        public string Tag { get; set; }
    }

主处理函数为

        public Dictionary<string, List<SqlParameter>> ConvertSqlWhere(string str)
        {
            str = str.Replace("'", "");
            int start = 0;
            List<SubIndex> list = new List<SubIndex>();
            if (str.Contains("and"))
            {
                start = str.IndexOf("and");
                GetArrow(start, str, ref list, "and");
            }
            if (str.Contains("or"))
            {
                start = str.IndexOf("or");
                GetArrow(start, str, ref list, "or");
            }

            list = list.OrderBy(ex => ex.Index).ToList();
            List<string> ls = new List<string>();
            for (int i = 0; i < list.Count; i++)
            {
                if (i == 0)
                {
                    ls.Add((str.Substring(0, list[i].Index)).Trim());
                }
                else
                {
                    ls.Add((str.Substring(list[i - 1].Index, list[i].Index - list[i - 1].Index)).Trim());
                    if (i == list.Count - 1)
                    {
                        ls.Add((str.Substring(list[list.Count - 1].Index)).Trim());
                    }

                }

            }
            return GetSQLAndParameters(ls);
        }

GetSQLAndParameters方法是对list进行处理并放回字典的方法

        public Dictionary<string,List<SqlParameter>> GetSQLAndParameters(List<String> ls )
        {
            string sql = "";
            Dictionary<string,List<SqlParameter>> dic=new Dictionary<string,List<SqlParameter>>();
            List<SqlParameter> cmdParas=new List<SqlParameter>();
            for (int i = 0; i < ls.Count; i++)
            {
                if (ls[i].Contains("and"))
                {
                    #region and
                    if (ls[i].Contains("in"))
                    {
                        string sqlin="";
                        string[] temp = ls[i].Substring(ls[i].IndexOf('(') + 1, ls[i].IndexOf(')') - ls[i].IndexOf('(')-1).Split(',');
                        sqlin += (ls[i].Substring(0, ls[i].IndexOf('(')+1));
                        for (int j = 0; j < temp.Length; j++)
                        {
                            cmdParas.Add(new SqlParameter("@"+ls[i].Substring(3,ls[i].IndexOf("in")-3).Trim() +i.ToString() +j.ToString(), temp[j]));
                            sqlin += "@" + ls[i].Substring(3, ls[i].IndexOf("in") - 3).Trim() + i.ToString() + j.ToString() + ",";
                        }
                        sql += (sqlin.Substring(0, sqlin.Length - 1) + ")");
                    }
                    else
                    {

                        if (ls[i].Contains("<>"))
                        {
                            sql += GetStr(ls[i], "<>", i,"and");
                            cmdParas.Add(GetPara(ls[i],"<>",i,"and"));
                        }
                        else if(ls[i].Contains('<'))
                        {
                            sql += GetStr(ls[i], "<", i,"and");
                            cmdParas.Add(GetPara(ls[i], "<", i,"and"));
                        }
                        else if (ls[i].Contains('='))
                        {
                            sql += GetStr(ls[i], "=", i,"and");
                            cmdParas.Add(GetPara(ls[i], "=", i,"and"));
                        }
                        else if (ls[i].Contains('<'))
                        {
                            sql += GetStr(ls[i], "<", i, "and");
                            cmdParas.Add(GetPara(ls[i], ">", i, "and"));
                        }
                        else
                        {
                            sql += ls[i];
                        }
                    }
                    #endregion
                }
                else if (ls[i].Contains("or"))
                {
                    #region or
                    if (ls[i].Contains("in"))
                    {
                        string sqlin = "";
                        string[] temp = ls[i].Substring(ls[i].IndexOf('(') + 1, ls[i].IndexOf(')') - ls[i].IndexOf('(')-1).Split(',');
                        sqlin += (ls[i].Substring(0, ls[i].IndexOf('(')));
                        for (int j = 0; j < temp.Length; j++)
                        {
                            cmdParas.Add(new SqlParameter("@" + ls[i].Substring(2, ls[i].IndexOf("in") - 2).Trim() + i.ToString() + j.ToString() , temp[j]));
                            sqlin += "@" + ls[i].Substring(2, ls[i].IndexOf("in") - 2).Trim() + i.ToString() + j.ToString() + ",";
                        }
                        sql += (sqlin.Substring(0, sqlin.Length - 1) + ")");
                    }
                    else
                    {
                        if (ls[i].Contains("<>"))
                        {
                            sql += GetStr(ls[i], "<>", i, "or");
                            cmdParas.Add(GetPara(ls[i], "<>", i, "or"));
                        }
                        else if (ls[i].Contains('<'))
                        {
                            sql += GetStr(ls[i], "<", i, "or");
                            cmdParas.Add(GetPara(ls[i], "<", i, "or"));
                        }
                        else if (ls[i].Contains('='))
                        {
                            sql += GetStr(ls[i], "=", i, "or");
                            cmdParas.Add(GetPara(ls[i], "=", i, "or"));
                        }
                        else if (ls[i].Contains('<'))
                        {
                            sql += GetStr(ls[i], "<", i, "or");
                            cmdParas.Add(GetPara(ls[i], ">", i, "or"));
                        }
                        else
                        {
                            sql += ls[i];
                        }
                    }
                    #endregion

                }
                else
                {
                    #region 第一个条件
                    if (ls[i].Contains("in"))
                    {
                        string sqlin = "";
                        string[] temp = ls[i].Substring(ls[i].IndexOf('(') + 1, ls[i].IndexOf(')') - ls[i].IndexOf('(')-1).Split(',');
                        sqlin += (ls[i].Substring(0, ls[i].IndexOf('(')));
                        for (int j = 0; j < temp.Length; j++)
                        {
                            cmdParas.Add(new SqlParameter("@" + ls[i].Substring(0, ls[i].IndexOf("in")) + i.ToString() + j.ToString() , temp[j]));
                            sqlin += "@" + ls[i].Substring(0, ls[i].IndexOf("in") ).Trim() + i.ToString() + j.ToString() + ",";
                        }
                        sql += (sqlin.Substring(0, sqlin.Length - 1) + ")");
                    }
                    else
                    {
                        if (ls[i].Contains("<>"))
                        {
                            sql += GetStr(ls[i], "<>", i, "");
                            cmdParas.Add(GetPara(ls[i], "<>", i, ""));
                        }
                        else if (ls[i].Contains('<'))
                        {
                            sql += GetStr(ls[i], "<", i, "");
                            cmdParas.Add(GetPara(ls[i], "<", i, ""));
                        }
                        else if (ls[i].Contains('='))
                        {
                            sql += GetStr(ls[i], "=", i, "");
                            cmdParas.Add(GetPara(ls[i], "=", i, ""));
                        }
                        else if (ls[i].Contains('<'))
                        {
                            sql += GetStr(ls[i], "<", i, "");
                            cmdParas.Add(GetPara(ls[i], ">", i, ""));
                        }
                        else
                        {
                            sql += ls[i];
                        }
                    }
                    #endregion
                }
            }
            dic.Add(sql, cmdParas);
            return dic;
        }

另外重构的对字符进行处理得到sql和SQLParameter的方法

        public string GetStr(string str, string type, int tag,string andor)
        {
            if (type == "<>")
            {
                if (andor=="and")
                {
                    return " " + str.Substring(0, str.IndexOf('<'))+type + ("@" + (str.Substring(3, str.IndexOf('<') - 3)).Trim() + tag.ToString()) + " ";
                }
                else if (andor == "or")
                {
                    return " " + str.Substring(0, str.IndexOf('>')) +type+ ("@" + (str.Substring(2, str.IndexOf('<') - 2)).Trim() + tag.ToString()) + " ";
                }
                else
                {
                    return " " + str.Substring(0, str.IndexOf('>')) +type+ ("@" + (str.Substring(0, str.IndexOf('<'))).Trim() + tag.ToString()) + " ";
                }
            }
            else
            {
                if (andor=="and")
                {
                    return " " + str.Substring(0, str.IndexOf(type)) +type+ ("@" + (str.Substring(3, str.IndexOf(type) - 3)).Trim() + tag.ToString()) + " ";
                }
                else if (andor == "or")
                {
                    return " " + str.Substring(0, str.IndexOf(type)) +type+ ("@" + (str.Substring(2, str.IndexOf(type) - 2)).Trim() + tag.ToString()) + " ";
                }
                else
                {
                    return " " + str.Substring(0, str.IndexOf(type)) +type+ ("@" + (str.Substring(0, str.IndexOf(type))).Trim() + tag.ToString()) + " ";
                }
            }
        }
        public SqlParameter GetPara(string str, string type, int tag, string andor)
        {
            if (type == "<>")
            {
                if (andor == "and")
                {
                    return new SqlParameter("@" + (str.Substring(3, str.IndexOf('<') - 3)).Trim() + tag.ToString(), (str.Substring(str.IndexOf('>') + 1)).Trim());
                }
                else if (andor == "or")
                {
                    return new SqlParameter("@" + (str.Substring(2, str.IndexOf('<') - 2)).Trim() + tag.ToString(), (str.Substring(str.IndexOf('>') + 1)).Trim());
                }
                else
                {
                    return new SqlParameter("@" + (str.Substring(0, str.IndexOf('<'))).Trim() + tag.ToString(), (str.Substring(str.IndexOf('>') + 1)).Trim());
                }
            }
            else
            {
                if (andor == "and")
                {
                    return new SqlParameter("@" + (str.Substring(3, str.IndexOf(type) - 3)).Trim() + tag.ToString(), (str.Substring(str.IndexOf(type) + 1)).Trim());
                }
                else if (andor == "or")
                {
                    return new SqlParameter("@" + (str.Substring(2, str.IndexOf(type) - 2)).Trim() + tag.ToString(), (str.Substring(str.IndexOf(type) + 1)).Trim());
                }
                else
                {
                    return new SqlParameter("@" + (str.Substring(0, str.IndexOf(type))).Trim() + tag.ToString(), (str.Substring(str.IndexOf(type) + 1)).Trim());
                }
            }
        }
吃货程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL where in 参数化查询
lprebok1的专栏
06-06 3339
6六种where参数化实现,分别如下 1.使用CHARINDEX或like实现where in 参数化 2.使用exec动态执行SQl实现where in 参数化 3.为每一个参数生成一个参数实现where in 参数化 4.使用临时表实现where in 参数化 5.使用xml参数实现where in 参数化 6.使用表值参数(TVP)实现where in 参
条件判断语句 ---语法结构、相关参数判断(文件类型、文件权限、文件新旧、整数、字符串)、多重条件判断、流程控制语句 (if语句)、pgrep命令
Horizon_carry的博客
07-11 392
一、条件判断语法结构 1.条件判断语法格式 1). 格式1: test 表达式 2). 格式2: [ 条件表达式 ] 3). [[ 条件表达式 ]] 支持正则=~ 2. 用法特别说明 [ 内容左右均有空格] [[ 内容左右均有空格 ]] 3. 更多判断 man test去查看, 很多参数都可以用来进行条件判断 二、条件判断相关参数 1.文件类型判断 -e ##判断文件是否存在(任何类型文件) -f ##判断文件是否存在并且是一个普通文件 -d ...
参数化查询
nchu2020的专栏
03-05 1218
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行
参数化防止注入
qq_38409944的博客
10-21 543
用到数据库 总逃不过要参数化防止注入 因为有些程序员代码写的简单不完善就给了 一些人钻漏洞的机会 有些还好只是进入你的数据库 有些就恶意篡改你的内容 这就自认倒霉了 具体如何防止 为何防止 我就不贴了 百度一大堆 我就粘贴一下两个参数化防止注入的方法 方法一 :常用的 当数据库内容不多的时候 (推荐) string strsql = "insert into Stud
SQL参数化查询
weixin_30514745的博客
03-13 636
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 数据库参数化规律:在参数化SQL参数名的格式跟其在存储过程中生命存储过程参数一致...
SqlServer:使用IN()子句C#进行参数化查询
04-07
标题中的“SqlServer:使用IN()子句C#进行参数化查询”指的是在SQL Server数据库中,使用C#编程语言来构建一个参数化的查询,该查询涉及到SQL的IN操作符。IN操作符允许我们在WHERE子句中指定一个值列表,查询满足...
SQL注入 生成参数化的通用分页查询语句
10-29
对于分页查询,类似地,我们需要生成带有 `OFFSET` 和 `FETCH NEXT` 或 `LIMIT` 子句的SQL(具体语法取决于所使用的数据库系统),同时确保所有输入都是参数化处理。这不仅可以防止SQL注入,还能提高查询性能,因为...
pyMySQL SQL语句传参问题,单个参数或多个参数说明
12-17
总的来说,pymysql提供了多种参数化查询的方式,可以根据实际需求选择合适的方法。无论选择哪种方式,都应该遵循最佳实践,确保代码的健壮性和安全性。同时,阅读官方文档和标准教程对于深入理解和使用pymysql是非常...
php SQL之where语句生成器
10-30
在PHP编程中,SQL查询是数据操作的核心部分,特别是在...不过需要注意的是,对于SQL注入的风险,这个函数并没有进行任何防御措施,实际应用时应当确保输入数据的安全性,例如使用预处理语句或者对值进行适当的转义。
java调用shell向DataX传参,带where条件,特殊字符
08-16
java调用shell命令,在shell命令中调用DataX任务并传递参数。 坑主要在DataX传递参数涉及到特殊字符应该如何处理这块,有时间可以自己试; 没时间可以用我的经验,自己选择;
SQL参数放在where前后的区别
weixin_30709635的博客
02-28 212
本博客记录一个细节,在使用sql left join时候,参数放在left join后面当条件,还是放在where后的区别 给出两条SQL: tt.book_type = 'TIPS_TYPE',放在left join后面当条件 select tc.seq, tc.tips_flag, tc.is_valid, tc.crea...
sql 自定义函数 ,where后拼接条件跳转语句,实现可变参数查询
weixin_30384217的博客
07-13 339
and ( @kscode is null or ( tbzdqk.kscode = @kscode and @kscode is not null ) ) 在where 条件语句之后加上如此 语句即可实现。 其中 @kscode就是那个可变参数,这里我将@kscode这个参数默认设为 null。 函数定义(关键看@kscode的定义)如下: ALTER FUNCTION [db...
Python后端关于SQL的where条件处理
qq_43326465的博客
05-23 1612
最近在参与一个服装行业智能零售的项目,在与前端交互的过程中出现了一个问题。 前端页面实现的是一个下拉框和一个输入框的组合搜索功能,返回来给我后端的就是两个参数,一个是下拉框的searchvalue,和输入框的goodsinput。最开始我的想法就是在SQL查询语句中用两个格式化字符串(%s)分别作为where语句的查询条件和查询内容,但是查询条件需要指定一个表,所以这种方法行不通。 后来我去网上查...
当使用Jave传参给SQL时,参数可能为空,且传参为sql语句where后筛选条件时的解决办法
u010737756的博客
11-15 1672
拿Java给SQL传参本来使用占位符“?”,按顺序站位即可。 但由于本人项目中的参数可能为空,因此做了以下修改: 如果传入参数有值,且位置在where后,那么sql语句这么写(status列为例): select * from TABLE where status = ?; 如果传入参数为空,且位置在where后,那么即为查询该列全部信息,此时的sql语句可以这么写: select * from...
SQL参数化查询,Where语句中配置“?”
mark_jl的博客
03-28 1544
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
datax 学习记录
zhuyin365的博客
03-22 1199
datax 学习到应用
mysql 存储过程输入参数当做where条件的三种方式
热门推荐
evalsys的博客
08-02 1万+
这里我的输入参数都是ps_name 第一种:通过字符串拼接 BEGIN DECLARE $sqltext VARCHAR(1000); SET $sqltext = 'SELECT * FROM user where 1=1'; IF ps_name IS NOT NULL THEN SET $sqltext = CONCAT($sqltext,' and name = \'',ps_name...
java后端Swagger接口
a6jishuren的博客
09-21 1798
Swagger 随着现在越来越多的项目开始前后端分离,接口开发文档就变的尤为重要,一般开发中常用的文档有swagger、Yapi等,本章项目先介绍swagger。 1.java层-控制层引入,注解,写法 import io.swagger.annotations.Api; import io.swagger.annotations.ApiImplicitParam; import io.swagger.annotations.ApiImplicitParams; import io.swagger.
nodejs koa框架模糊查询sql语句参数化
最新发布
05-22
在使用Koa框架进行模糊查询时,我们一般会使用SQL的LIKE语句来实现,同时也需要对查询参数进行参数化处理,以防止SQL注入...最后,我们使用`db.query()`方法来执行SQL语句,并将参数作为数组传入,以进行参数化处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值