mysql的分页查询传参数_(记录)mysql分页查询,参数化过程的坑

最新推荐文章于 2024-01-03 16:28:14 发布
最新推荐文章于 2024-01-03 16:28:14 发布
阅读量754 收藏
点赞数
文章标签: mysql的分页查询传参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33641654/article/details/113157495
版权
本文介绍了在处理存在SQL注入风险的分页查询时,如何将原本的非参数化SQL改造成参数化查询。文章详细阐述了两种尝试思路:一是通过存储过程传递参数,但因无法动态定义参数而放弃;二是直接在代码中拼接分页SQL,解决了LIMIT子句计算及LIKE模糊查询的问题,利用CONCAT()函数处理模糊查询。尽管性能受到影响,但成功实现了参数化,提高了安全性。
摘要由CSDN通过智能技术生成

在最近的工作中,由于历史遗留,一个分页查询没有参数化,被查出来有sql注入危险,所以对这个查询进行了参数化修改。

一看不知道,看了吓一跳,可能由于种种原因,分页查询sql是在存储过程中拼接出来的,where之后的条件也是在代码中先进行拼接,然后作为整体参数在传入存储过程里,在存入过程里又进行一次拼接。这样的话就有sql注入的潜在危险,尽管在拼接where之前进行的查询条件的验证。

大家都明白,参数化是防止sql注入的有效方法,然后就对这个分页查询进行大刀阔斧的改革。

思路一:1、对原先的代码中拼接的where条件,不进行直接的赋值拼接。而是拼接成带@符号的参数。并且给参数赋值;例如:

if (Num > 0)

{

sbWhere.Append("AND s.SysNo=").Append(Num.Value);

}

改if (Num > 0)

{

sbWhere.Append("AND s.SysNo = @SysNo");

paras.Add(new MySqlParameter("@SysNo", Num.Value));

}

2、给存储过程添加参数

3、用SetParameters(paras.ToArray())方法直接把参数paras传给存储过程

结论:根本走不通,因为我们的查询条件是动态拼接的,没办法动态给存储过程定义传入参数,这个思路直接给pass掉了;

小结ÿ

最低0.47元/天 解锁文章
我不记得怎么办
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql分页的limit参简单示例
01-21
Mysql分页的两个参 select * from user limit 1,2 1表示从第几条据开始查(默认索引是0,如果写1,从第二条开始查) 2,表示这页显示几条据 到此这篇关于mysql分页的limit参的文章就介绍到这了,更多相关mysql分页limit参内容请搜索软件开发网以前的文章或继续浏览下面的相关文章希望大家以后多多支持软件开发网! 您可能感兴趣的文章:详解MySQL的limit用法和分页查询语句的性能分析MYSQL分页limit速度太慢的优化方法mysql limit分页优化方法分享Mysql limit
MySQL排序ORDER BY与分页LIMIT,SQL,减少据表的网络传输量,完整详细可收藏
叶绿体不忘呼吸
11-22 623
文章目录1、ORDER BY排序2、LIMIT分页 1、ORDER BY排序 1.1 排序规则 使用 ORDER BY 子句排序 ASC(ascend): 升序 DESC(descend):降序 ORDER BY 子句在SELECT语句的结尾。 1.2 单列排序 SELECT last_name, job_id, department_id, hire_date FROM employees ORDER BY hire_date ; #默认升序 SELECT last_name, job_id, dep
(带参的)分页查询
csdnxyy的博客
08-17 495
<blockquote class="layui-elem-quote quoteBox"> <form class="layui-form" id="queryForm"> <input type="hidden" id="page" name="page" value="1"> <input type="hidden" id="rows" name="rows" value="15"> <di.
MySQL 分页
weixin_52629592的博客
05-23 865
1.背景 查询返回的记录太多了,我们希望一页一页的查看,如: 百度,淘宝的页面 表里有多条据,但是我们只想查询其中的某几条据 2.实现规则 分页原理 所谓分页,就是将据库中的结果集,一段一段显示出需要的条件 MySQL中使用LIMIT实现分页 使用格式: LIMIT [位置偏移量],行 第一个"位置偏移量"参指明MySQL以哪一行开始显示,是一个可选参.如果不指定"位置偏移量",就会默认从表中的第一条记录开始(第一条记录的位置偏移量
记录mysql分页查询参数化过程
weixin_30765475的博客
04-19 83
  在最近的工作中,由于历史遗留,一个分页查询没有参数化,被查出来有sql注入危险,所以对这个查询进行了参数化修改。   一看不知道,看了吓一跳,可能由于种种原因,分页查询sql是在存储过程中拼接出来的,where之后的条件也是在代码中先进行拼接,然后作为整体参在传入存储过程里,在存入过程里又进行一次拼接。这样的话就有sql注入的潜在危险,尽管在拼接where之前进行的查询条件的验证。   ...
防SQL注入 生成参数化的通用分页查询语句
01-01
但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化的查询语句,因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写...
易语言MYSQL据库分页查询
07-20
易语言作为一款中国本土化的编程语言,提供了与MySQL据库交互的能力,使得开发者能够轻松实现据库的分页查询功能。本文将详细讲解如何在易语言中进行MySQL据库的分页查询,并探讨相关技术点。 首先,我们要...
php下巧用select语句实现mysql分页查询
09-11
此外,为了防止SQL注入,应当使用参数化查询或预处理语句,而不是直接在SQL语句中拼接变量。例如,使用PDO的预处理语句: ```php $stmt = $pdo->prepare("SELECT * FROM table LIMIT ?, ?"); $stmt->execute([$...
ssm的mysql分页查询
04-03
- 对于复杂查询,可以考虑使用存储过程实现分页,但要注意性能和维护性的问题。 6. **注意事项** - 分页查询时避免全表扫描,尽量使用索引来加速查询。 - 当据量极大时,注意防止内存溢出,适当调整Page对象的...
asp.net 结合mysql存储过程进行分页代码
10-30
首先,存储过程`p_pageList`是关键,它接受输入参如当前页(`m_pageNo`)、每页显示的记录(`m_perPageCnt`)、查询的列(`m_column`)、表名(`m_table`)、查询条件(`m_condition`)和排序条件(`m_orderBy`),并返回...
mysql优化分页
licanfeng1的专栏
01-06 136
https://www.cnblogs.com/flying-tx/p/4344553.html
mysql分页查询的含义_mysql分页查询详解
weixin_36047538的博客
01-21 1284
我们做的后端项目一般都会有admin管理端,当管理端将要展示据的时候,就需要用到分页。所以分页的考查在面试中也相当多。在mysql中进行分页 查询时,一般会使用limit查询,而且通常查询中都会使用order by来排序。但是在表据量比较大的时候,例如查询语句片段limit 10000,20,据库会读取10020条据,然后把前10000条丢弃,把最后的20条返回给你,这种消耗是可以避免的,...
mysql分页的limit参
xiaoxiaode_shu的博客
05-24 8837
Mysql分页的两个参 select * from user limit 1,2 1表示从第几条据开始查(默认索引是0,如果写1,从第二条开始查) 2,表示这页显示几条
mysql分页
假如的博客
08-17 491
select *from table_name limit m,n; 参m:据在表中的顺序(index),而不是主键之类的记录。 参n:每页显示的据条。 select *from tabe_name limit (当前页码-1)*n(每页显示条) , n
MySQL中的分页limit
最新发布
java_ljc88的博客
01-03 1046
学会mysql中的limit
mysql 参数化分页_(记录mysql分页查询参数化过程
weixin_42439576的博客
02-27 172
这些值都已经传入了,但是就是报错;内容如下:Message: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘(1-1)*20, 20‘ at line 12.最后发现limit...
mysql查询传参_据库查询 怎样传递参
weixin_39956612的博客
02-11 904
stringyear=tB_BirthScan.Text.Trim();using(SqlConnectionscon1=newSqlConnection("server=LGX-PC;Database=Student;IntegratedSecurity=true")){scon1.Open();DataSetds=newDataSet...string year = tB_BirthScan....
php pdo mysql分页_pdo分页代码
weixin_29735075的博客
02-28 134
pdo分页$page = $_GET['page'];$dsn = "mysql:host=localhost;dbname=bbv1";$db= new PDO($dsn,'root',''); //pdo链接$num = 10; //每页显示的文章目$pagea=($page-1)*$num;foreach ($db-...
c# mysql 分页查询
06-07
以下是 C# 中使用 MySQL 进行分页查询的示例代码: ```csharp public List<MyObject> GetMyObjects(int pageNumber, int pageSize) { List<MyObject> myObjects = new List<MyObject>(); using (MySqlConnection connection = new MySqlConnection("your-connection-string")) { connection.Open(); string query = "SELECT * FROM my_table LIMIT @startIndex, @pageSize"; int startIndex = (pageNumber - 1) * pageSize; using (MySqlCommand command = new MySqlCommand(query, connection)) { command.Parameters.AddWithValue("@startIndex", startIndex); command.Parameters.AddWithValue("@pageSize", pageSize); using (MySqlDataReader reader = command.ExecuteReader()) { while (reader.Read()) { MyObject myObject = new MyObject(); myObject.Id = reader.GetInt32("id"); myObject.Name = reader.GetString("name"); // set other properties myObjects.Add(myObject); } } } } return myObjects; } ``` 在这个例子中,我们使用了 `LIMIT` 关键字来实现分页查询。`@startIndex` 和 `@pageSize` 是参数化查询中的参,用于设置查询的起始位置和每页的记录。`MyObject` 是我们自定义的实体类,用于表示从据库中查询出来的据。您可以根据您的具体需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值