何种情况下sql语句参数化

于 2009-07-16 23:55:00 发布 1013 收藏 1
分类专栏: Asp.Net 文章标签: sql string 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangjunping/article/details/4355170
版权

       可能很多人遇到过这种情况,自己辛辛苦苦做的网站被黑客轻而易举的通过Sql注入后所攻击,导致整个网站甚至整个服务器的瘫痪。针对这种情况,我们对Sql语句参数化,这样就可以有效的防止Sql注入。

据我所知,Sql语句参数化主要是针对写Sql语句时传入的字符串变量进行参数化。为什么要说是字符串变量呢?因为我们写执行Sql语句的方法时,对于传入的变量的类型都有定义,比如在数据表DT_Catagory中的CatagoryId字段类型是int类型,我们在定义一个通过CatagoryId来调取该条记录的详细信息的方法时,会写成这样:

public int DataTable GetCatagoryInfoById(int categoryId)

{……

}

当我们调用该方法时,需要传入的变量必须是int类型的变量,该方法才能执行,否则,程序会报错,从而执行不了该方法内的代码,也就执行不了里边的Sql语句。

毕竟在写Sql语句时对其进行参数远远没有不进行参数化那样简单。因此能不进行参数化就可以适当的偷个懒J。比如上边的例子里我们在写Sql语句时就可以省去参数化,可以把里边的Sql语句写成这样:

String sql=”select * from DT_Catagory where CategoryId = ” + categoryId;

上边这个只是针对传入的变量是int类型时举了一个简单的例子,对于其他非字符串类型的,比如说bool,自定义枚举类型等等。都可以这样的来偷懒。

以上是我的一些观点,有欠缺的地方,欢迎大家一起来探讨

tangjunping
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL Server 2008高级程序设计 2/6
03-03
 6.4 明智地决定何时何地使用何种索引  6.5 维护索引  6.6 小结 第7章 更高级的索引结构  7.1 XML索引  7.2 用户定义的数据类型  7.3 层次数据  7.4 空间数据  7.5 文件流  7.6 启用文件流  7.7...
SQL参数化
GaraMaps的博客
09-05 2524
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
SQL参数化查询
weixin_30514745的博客
03-13 405
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 数据库参数化规律:在参数化SQL中参数名的格式跟其在存储过程中生命存储过程参数一致...
参数化命令执行sql语句
MousseIn的博客
11-30 1507
参数化命令执行sql语句理解参数化指令的好处掌握使用参数化指令执行sql语句使用@构造参数化sql命令sqlParameter对象SqlParameter的属性使用SqlCommmand 执行参数化SQL的步骤 理解参数化指令的好处 防止sql注入 string sb = “SELECT *FROM admin WHERE loginid =’”+loginId+"‘AND loginPwd =’"+logingPwd+"’" string sb =“SELECT * FROM admin WHERE
参数化SQL小认识
ithome
07-27 98
在做机房收费系统项目,编写数据连接并访问数据库时,见别人都用了带“@”字符的SQL语句,就很好奇为什么都用这个语句呢?直接拼写SQL语句不是更加方便吗?带着这个问题上网查资料,才知道原来他们用的是参数化SQL,那么为什么要用参数化SQL?什么是参数化SQL呢? 在做第一次机房收费系统的时候,大部分的应该都是使用直接拼SQL语句的方法,那时候就听前辈们有说到SQL注入,那时候也不要求了解...
python参数化查询_Python MySQL 使用预编译语句 执行参数化查询
weixin_34268462的博客
12-23 710
一、事故缘起今天构造了一个超过 50 多个参数的 SQL 插入语句,在执行的时候提示 Not all parameters were used in the SQL statement,提示「SQL 语句中未使用所有参数」的异常,但是前前后后检查了 SQL 语句,发现每个参数都是与相应的字段一一对应的,类似于下面这样的代码块:mydb = mysql.connect(...)cursor = my...
SQL Server 2008高级程序设计 4/6
03-03
 6.4 明智地决定何时何地使用何种索引  6.5 维护索引  6.6 小结 第7章 更高级的索引结构  7.1 XML索引  7.2 用户定义的数据类型  7.3 层次数据  7.4 空间数据  7.5 文件流  7.6 启用文件流  7.7...
SQL Server 2008高级程序设计 1/6
03-03
 6.4 明智地决定何时何地使用何种索引  6.5 维护索引  6.6 小结 第7章 更高级的索引结构  7.1 XML索引  7.2 用户定义的数据类型  7.3 层次数据  7.4 空间数据  7.5 文件流  7.6 启用文件流  7.7...
SQL Server 2008高级程序设计 6/6
03-03
 6.4 明智地决定何时何地使用何种索引  6.5 维护索引  6.6 小结 第7章 更高级的索引结构  7.1 XML索引  7.2 用户定义的数据类型  7.3 层次数据  7.4 空间数据  7.5 文件流  7.6 启用文件流  7.7...
SQL Server 2008高级程序设计 5/6
03-03
 6.4 明智地决定何时何地使用何种索引  6.5 维护索引  6.6 小结 第7章 更高级的索引结构  7.1 XML索引  7.2 用户定义的数据类型  7.3 层次数据  7.4 空间数据  7.5 文件流  7.6 启用文件流  7.7...
SQL Server 2008高级程序设计 3/6
03-03
 6.4 明智地决定何时何地使用何种索引  6.5 维护索引  6.6 小结 第7章 更高级的索引结构  7.1 XML索引  7.2 用户定义的数据类型  7.3 层次数据  7.4 空间数据  7.5 文件流  7.6 启用文件流  7.7...
PL/SQL 基础.doc
09-29
2) 良好的可移植性(不管Oracle运行在何种操作系统); 3) 良好的可维护性(编译通过后存储在数据库里); 4) 提升系统性能; 缺点 1) 不便于向异构数据库移植应用程序(只能用于Oracle); 5. SQL与PL/SQL的区别 ...
SQL Server 2008编程入门经典(第3版)
08-29
9.4 明智地选择——在何时何地使用何种索引 9.4.1 选择性 9.4.2 注意成本 9.4.3 选择群集索引 9.4.4 列顺序问题 9.4.5 修改索引 9.4.6 删除索引 9.4.7 从查询计划中获取提示 9.4.8 使用数据库引擎调整向导 9.5 维护...
Oracle9i的init.ora参数中文说明
11-07
Oracle9i初始化参数中文说明 Blank_trimming: 说明: 如果值为TRUE, 即使源长度比目标长度 (SQL92 兼容) 更长, 也允许分配数据。 值范围: TRUE | FALSE 默认值: FALSE serializable: 说明: 确定查询是否获取表级...
SQL.Server.2008编程入门经典(第3版).part2.rar
06-09
9.4 明智地选择——在何时何地使用何种索引 9.4.1 选择性 9.4.2 注意成本 9.4.3 选择群集索引 9.4.4 列顺序问题 9.4.5 修改索引 9.4.6 删除索引 9.4.7 从查询计划中获取提示 9.4.8 使用数据库引擎调整向导 9.5 维护...
SQL.Server.2008编程入门经典(第3版).part1.rar
06-09
9.4 明智地选择——在何时何地使用何种索引 9.4.1 选择性 9.4.2 注意成本 9.4.3 选择群集索引 9.4.4 列顺序问题 9.4.5 修改索引 9.4.6 删除索引 9.4.7 从查询计划中获取提示 9.4.8 使用数据库引擎调整向导 9.5 维护...
数据库程序设计第二次上机
04-05
结果显示的额外要求,请自行确定在何处使用何种命令实现相应 要求): 1.清除所有column指令设置的格式设置 2. 取消对于替 换变量进行验证显示的选项(提示:verify环境变量)3. 设置 employee_id 列的显示列名...
oracle数据库经典题目
02-17
文本初始化参数文件是一个本地的初始化参数文件,而服务器初始化参数文件是一个放在数据库服务器端的共享的二进制初始化参数文件。文本参数文件的修改是通过直接对文本的修改实现的,通过命令行是无法将修改后的参数...
[完整][Oracle][Oracle数据库精讲与疑难解析].pdf
11-17
 23.6 SQL语句中,集合函数使用 与疑难解析  第24章 模式对象(Schema Object)的管理  24.1 模式(Schema)的概念  24.2 模式对象管理  24.2.1 表(Table)  24.2.2 索引(Index)  24.2.3 外部表...
mybatisplus打印sql语句 填充参数
最新发布
05-22
<h3>回答1:</h3><br/>Mybatis-plus是Mybatis的增强工具,它提供了许多方便的功能,方便开发人员进行Mybatis的使用。在实际开发过程中,我们经常需要打印SQL语句以及填充参数,以便于我们更好地调试和优化SQL语句。 在Mybatis-plus中,打印SQL语句以及填充参数非常简单。我们只需要在配置文件中添加一个配置,就可以实现打印SQL语句和填充参数的功能。具体步骤如下: 1.在配置文件中添加配置项 在Mybatis的配置文件中,添加如下配置项: ```xml <!-- 打印SQL语句 --> <setting name="logImpl" value="STDOUT_LOGGING"/> <!-- 显示SQL语句中的参数 --> <setting name="jdbcTypeForNull" value="NULL"/> <setting name="logLevel" value="DEBUG"/> ``` 2.在类中使用注解 在我们需要打印SQL语句的Mapper中,使用注解@Mapper以及@Log4j2即可。 ```java @Mapper @Log4j2 public interface UserMapper extends BaseMapper<User> { @Select("select * from user WHERE name = #{name}") User queryUserByName(String name); } ``` 这样,当我们使用queryUserByName方法的时候,就会在控制台上打印出SQL语句以及填充的参数。 Mybatis-plus是一个非常方便的工具,使用起来也非常简单,只需要简单的配置和使用注解即可实现打印SQL语句以及填充参数的功能,方便我们进行SQL优化和调试。 <h3>回答2:</h3><br/>Mybatisplus是一个基于Mybatis框架之上的底层扩展库,提供了很多便于开发的功能,如自动生成代码、分页插件、乐观锁、多租户插件等。同时,它也提供了打印SQL语句和填充参数的功能。下面就针对这两个功能进行讲解。 一、打印SQL语句 Mybatisplus提供了打印SQL语句的功能,可以在SQL执行前和执行后打印SQL语句,方便开发人员查看和排错。使用方式如下: 1.在配置文件中设置打印SQL语句的日志级别为DEBUG: ``` logging.level.com.baomidou.mybatisplus.core.executor=DEBUG ``` 2.对于需要打印SQL语句的Mapper方法,可以在方法上加上注解@Interceptor(ExecuteSqlInterceptor.class): ``` @Interceptor(ExecuteSqlInterceptor.class) List<User> selectUserList(); ``` 3.执行SQL语句后,在控制台中可以看到打印出来的SQL语句,例如: ``` DEBUG 9307 --- [nio-8080-exec-1] c.b.m.c.e.MPExecuteSqlInterceptor : ==> Preparing: SELECT * FROM user WHERE age > ? DEBUG 9307 --- [nio-8080-exec-1] c.b.m.c.e.MPExecuteSqlInterceptor : ==> Parameters: 18(Integer) DEBUG 9307 --- [nio-8080-exec-1] c.b.m.c.e.MPExecuteSqlInterceptor : <== Total: 2 ``` 二、填充参数 Mybatisplus还提供了填充参数的功能,可以在执行SQL语句前和执行后对参数进行处理。使用方式如下: 1.创建一个继承了HandlerInterceptor接口的类: ``` public class MybatisParamHandlerInterceptor implements HandlerInterceptor { @Override public Object intercept(Invocation invocation) throws Throwable { // 获取参数 Object[] args = invocation.getArgs(); // 处理参数 // ... // 执行方法 Object result = invocation.proceed(); // 处理返回值 // ... return result; } } ``` 2.在配置文件中配置自定义的参数处理器: ``` mybatis-plus: configuration: # 自定义参数拦截器 handler: MybatisParamHandlerInterceptor: com.example.handler.MybatisParamHandlerInterceptor ``` 3.对于需要自定义处理参数的Mapper方法,可以在方法上加上注解@Interceptor(MybatisParamHandlerInterceptor.class ): ``` @Interceptor(MybatisParamHandlerInterceptor.class ) List<User> selectUserList(int age, String name); ``` 4.执行SQL语句前,Mybatisplus会调用参数处理器中的intercept方法,可以进行参数处理。例如: ``` @Override public Object intercept(Invocation invocation) throws Throwable { // 获取参数 Object[] args = invocation.getArgs(); // 处理参数 args[0] = args[0] + 1; // 执行方法 Object result = invocation.proceed(); // 处理返回值 // ... return result; } ``` 通过以上方法,我们可以轻松地实现打印SQL语句和填充参数的功能,提高开发效率和调试效率。 <h3>回答3:</h3><br/>MybatisPlus 是一个基于 Mybatis 的增强工具包,为了在开发过程中更加方便的进行 SQL 语句的构建和执行,它提供了很多方便的功能。其中有一项非常实用的功能就是可以打印 SQL 语句并填充参数。下面我就来详细介绍一下如何使用 MybatisPlus 打印 SQL 语句并填充参数。 1. 配置 mybatis-plus 配置文件 在 mybatis-plus 配置文件中,我们需要打开 ShowSql 开关和 FormatSql 开关。如下: ``` # 显示sql mybatis-plus: configuration: log-impl: org.apache.ibatis.logging.stdout.StdOutImpl sql-injector: com.baomidou.mybatisplus.core.injector.LogicSqlInjector tenant-handler: xxx.TenantHandler db-config: logic-delete-field: DELETED query-strategy: # 查询全部(-1),单条(0),分页(1) id-type: uuid field-strategy: # 必须写,否则无法生效,开启下划线转驼峰命名 - com.baomidou.mybatisplus.generator.config.po.TableField type-enums-package: - com.xxx block-attack-enable: false table-prefix: - xxx_ schema: - cxdatabase - aadatabase - xxxdatabase Capital-Mode: false show-sql: true format-sql: true ``` 2. 查看打印日志 开启后直接查看控制台日志即可看到 SQL 语句和参数。 ``` 2021-03-29 19:42:06,144 INFO [http-nio-8080-exec-1] o.m.p.mapper.BaseMapper.selectList(BaseMapper.java:128) - ==> Preparing: SELECT id, name FROM user WHERE age > ? OR age < ? ORDER BY age DESC LIMIT ? 2021-03-29 19:42:06,149 INFO [http-nio-8080-exec-1] o.m.p.mapper.BaseMapper.selectList(BaseMapper.java:128) - ==> Parameters: 22(Integer), 35(Integer), 10(Integer) ``` 这里就可以看到完整的 SQL 语句和填充的参数了。 总之,使用 MybatisPlus 打印 SQL 语句并填充参数是非常实用的功能,能够在开发过程中方便我们调试 SQL 语句,定位问题,提高开发效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tangjunping

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值