采用拼接SQL语句的坏处

最新推荐文章于 2023-05-16 12:10:15 发布
最新推荐文章于 2023-05-16 12:10:15 发布
阅读量3.9k 收藏
点赞数
分类专栏: C# 文章标签: sql sqlserver insert 数据库 string cmd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thebesttome/article/details/6788836
版权

采用拼接SQL语句。这样做很容易引起SQL注入攻击。

 

那么SQL注入是什么了?

 

SQL注入是目前比较常见的针对数据库的一种攻击方式。在这种攻击方式中,攻击者会将一些恶意代码插入到字符串中。然后会通过各种手段将该字符串传递到SQLServer数据库的实例中进行分析和执行。只要这个恶意代码符合SQL语句的规则,则在代码编译与执行的时候,就不会被系统所发现。由此可见SQL注入式攻击的危害是很大的。

 

防止SQL注入:

 总体来说,防治SQL注入式攻击可以采用两种方法,一是加强对用户输入内容的检查与验证;二是强迫使用参数化语句来传递用户输入的内容。

 

比如说以前采用:

insert into test values('"+id+"','"+name+"');

现在可以改成:

           string cmd = "insert into test values(@id,@name)";
            MySqlParameter[] paras ={
                                       new MySqlParameter("@id",MySqlDbType.String),
                                       new MySqlParameter("@name",MySqlDbType.String)
                                   };
            paras[0].Value = ID;

            paras[1].Value = Name;

 

带参数的sql语句唯一的缺点就是占用系统资源的问题了,因为它是早被预编译好的东西,所以系统在调用的时候是直接使用的。

但是相比于直接拼接的SQL语句。利还是大于弊。

 

 
 

 

                

        

        

    




    

      

        

            

              
                
                  thebesttome
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
sql拼接:不要拼接Sql,而要使用参数的好处

				
			

			

				

					01-11
				

			

		

		

			
				
sql拼接:不要拼接Sql,而要使用参数的好处
在实际开发中,经常会需要对数据库进行访问,最常见的开发方法就类似

			
		

	



                

              
                



	

		

			

				
					
易语言动态拼接sql语句

				
			

			

				

					07-20
				

			

		

		

			
				
在编程领域,动态拼接SQL语句是一种常见的技术,它允许程序在运行时根据需要构建SQL查询。在易语言这个中国本土化的编程环境中,动态拼接SQL同样具有重要的应用价值。易语言以其独特的汉字编程风格,降低了编程的...

			
		

	



                


  
              

                


	

		

			

				
					
代码里使用字符串操作来拼接sql语句坏处

					
热门推荐

				
			

			

				

					jihuanliang的专栏
				

				

					01-16
					
					1万+
					
				

			

		

		

			
				
1. 字符串操作更容易出错。

2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。

3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。

4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句

			
		

	





	

		

			

				
					
拼接sql会出现的问题

				
			

			

				

					博客
				

				

					04-10
					
					391
					
				

			

		

		

			
				
// 拼接sql时对象是nullsql会拼成'null'
  Object o = null;
  System.out.println(o);

最好不用拼接


			
		

	



		

			
		



	

		

			

				
					
C# sql参数拼接时,防止sql注入

				
			

			

				

					hzm博客
				

				

					09-23
					
					759
					
				

			

		

		

			
				
/// <summary>
    /// 安全输出字符串(页面内容)
    /// </summary>
    /// <param name="s"></param>
    /// <returns></returns>
    public static string ToSafe(this string s)
    {
        if (s == null)
        {
            s ...

			
		

	





	

		

			

				
					
拼接sql语句的时候注意事项

				
			

			

				

					weixin_30485799的博客
				

				

					07-20
					
					175
					
				

			

		

		

			
				
public void addstu(Student student) throws Exception{		String sqlString="insert into student values("+student.getId()+","				+ "'"+student.getName()+"','"+student.getSname()+"',"+student.getAge()+")";...

			
		

	





	

		

			

				
					
动态拼接sql语句.rar

				
			

			

				

					04-06
				

			

		

		

			
				
动态拼接SQL语句在IT行业中是一个常见的编程实践,尤其在数据库操作中,它允许根据程序运行时的条件或变量来构建SQL查询。这一技术在处理复杂查询逻辑、灵活的数据筛选以及减少代码冗余等方面具有显著的优势。然而,...

			
		

	





	

		

			

				
					
动态拼接sql语句工具类,拼接where后面语句

				
			

			

				

					05-25
				

			

		

		

			
				
动态拼接sql语句工具类,拼接where后面语句 配合原生jdbc仿动态sql注入  if (ObjectUtil.isNotEmpty(maxLat)&&ObjectUtil.isNotEmpty(minLat)){  sqlParamList.add(new SqlParam("lat",minLat, SqlOpEnum.GE));  ...

			
		

	





	

		

			

				
					
Java 使用注解拼接SQL语句

				
			

			

				

					11-18
				

			

		

		

			
				
"Java使用注解拼接SQL语句"是一个常见的实践,它使得动态构建SQL查询变得更为简洁和可维护。这种技术通常与ORM(对象关系映射)框架如MyBatis或Hibernate结合使用,但也可以通过自定义处理逻辑实现。  1. **自定义...

			
		

	





	

		

			

				
					
sql语句拼接问题

				
			

			

				

					z_x_c_的博客
				

				

					04-30
					
					195
					
				

			

		

		

			
				
在进行sql语句拼接时,需要在语句后加上空格,否则就会报错


"select * from lesson a join tb_user b " +
        "on a.createId = b.user_id "+
"where cid not in (select cid  from joinedclass a join tb_user b on a.uid = b.user_id where uid=#{uid})


...

			
		

	





	

		

			

				
					
拼接SQL造成的意想不到的后果

				
			

			

				

					weixin_33769207的博客
				

				

					12-20
					
					134
					
				

			

		

		

			
				
       执行数据操作时,由于拼接SQL存在种种弊端,早就应该抛弃了,但在现实开发时,又由于种种原因,公司一直采用这种方式(UI层和逻辑层都有严格的过滤,倒也没出现过什么问题),但昨天开发时却出现了意想不到的问题,一个简单的语句会造成严重后果。简单的语句示例如下:
更新主键为2的记录的总钱数的方法

    /// &lt;summary&gt;    /// 更新主键为2的记录的总钱数...

			
		

	





	

		

			

				
					
java delegate怎么写_Java开发的菜鸟们,快来看一下你的sql拼接是怎么写的

				
			

			

				

					weixin_39806603的博客
				

				

					11-21
					
					84
					
				

			

		

		

			
				
我们看下面几行简单的代码String sql = "select * from user where id=" + id;一行中,id进行了直接的拼接,那么id这个参数会通过用户来传递进来,这样很容易照成sql注入,从而被黑客利用进行脱裤。@RequestMapping("/SqlInjection/{id}")  public ModelAndView SqlInjectTest(@PathVa...

			
		

	





	

		

			

				
					
在CSharp中,拼接sql语句是使用StringBuilder更好还是直接用string变量更好?

				
			

			

				

					weixin_42602368的博客
				

				

					01-05
					
					279
					
				

			

		

		

			
				
在 C# 中,通常使用 StringBuilder 来拼接 SQL 语句会比使用 string 变量更好。这是因为,每当你使用 "+" 操作符来拼接两个字符串时,都会创建一个新的字符串对象。如果你需要频繁地拼接字符串,这就会导致大量的内存分配和垃圾回收。
相比之下,StringBuilder 类可以使用一个可变的字符数组来拼接字符串,这样就不会发生内存分配和垃圾回收。因此,使用 StringBui...

			
		

	





	

		

			

				
					
SQL语句规避拼接风险的转换方式

				
			

			

				

					New4eva的博客
				

				

					12-08
					
					355
					
				

			

		

		

			
				
SQL语句规避拼接风险的转换方式
List<Example> ExampleList= null;
       try {
			String sql =" select * from demo where status!=-1";

            if (StringUtils.isNotEmpty(example)) {
                sql+=" and example='"+example+"'";
            }
            Exa

			
		

	





	

		

			

				
					
SQL拼接存在的误区

				
			

			

				

					oybc666的博客
				

				

					05-16
					
					186
					
				

			

		

		

			
				
遇到的SQL语句拼接的问题

			
		

	





	

		

			

				
					
无意中看到的文章,简单而又可怕的拼接SQL造成的意想不到的后果,转来记录下

				
			

			

				

					魔术猿-Vezn
				

				

					07-22
					
					883
					
				

			

		

		

			
				
虽然公司有要求sql语句要调用ORM的方法处理,就算自己写也要参数化,但还是有些地方会没用注意到,看到下面的文章,惊出冷汗!
-----------------------------------------------------------------------------


 执行数据操作时,由于拼接SQL存在种种弊端,早就应该抛弃了,但在现实开发时,又由于种种原因,公司一直采用

			
		

	





	

		

			

				
					
sql case when 拼接sql语句

					
最新发布

				
			

			

				

					09-02
				

			

		

		

			
				
SQL的CASE WHEN语句可用于根据条件生成动态SQL语句。当我们需要根据不同的情况执行不同的SQL语句时,可以使用CASE WHEN来实现。

拼接SQL语句的一种常见场景是根据输入的条件动态生成查询语句。例如,假设我们有一个学生表,其中包含了学生的姓名、年龄和性别等字段。我们想要根据不同的条件查询不同的信息。

在这种情况下,我们可以使用CASE WHEN进行动态的SQL拼接。如下所示:

```
DECLARE @condition NVARCHAR(20) = 'age'

DECLARE @sql NVARCHAR(MAX) = 'SELECT '

SET @sql = @sql + 
    CASE 
        WHEN @condition = 'name' THEN 'name' 
        WHEN @condition = 'age' THEN 'age' 
        WHEN @condition = 'gender' THEN 'gender' 
    END

SET @sql = @sql + ' FROM students'

PRINT @sql
EXECUTE sp_executesql @sql
```

在上述示例中,我们使用变量`@condition`指定查询条件,然后根据条件使用CASE WHEN拼接查询语句的SELECT部分。在这种情况下,我们根据`@condition`的不同值,选择是否查询学生的姓名、年龄或性别字段。

通过这种方式,我们可以根据不同的情况动态拼接SQL语句,使查询更加灵活和适应不同的需求。使用CASE WHEN可以让我们根据条件来控制拼接SQL语句,提高了查询语句的灵活性和可扩展性。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值