正则表达式提取sql语句的@参数名,顺便修正subsonic的一个bug

最新推荐文章于 2021-03-02 11:50:14 发布
最新推荐文章于 2021-03-02 11:50:14 发布
阅读量135 收藏
点赞数

        subsonic的InlineQuery非常好用,用于执行参数的Sql语句,防止被注入,其运行机制类似我之前写的《借用.net framework的string.Fromat(...),实现一个执行参数化SQL的方法》,都是先提前sql语句中的参数名,再根据参数名和传入的值动态构造Command.

贴一个官方的使用InlineQuery的示例:

Northwind.ProductCollection products =
    new  InlineQuery()
    .ExecuteAsCollection < Northwind.ProductCollection >
    ( " SELECT productID from products WHERE productid=@productid " 1 );

 

 

        今天用InlineQuery执行带参数的SQl语句时候,发现subsonic分析sql参数的一个bug,跟踪进入subsonic的源代码,发现其解析sql语句的参数是这样解析的:

private static List<string> ParseParameters(string sql)
{
     List<string> result = new List<string>();
     Regex paramReg = new Regex(@"@\w*");
     MatchCollection matches = paramReg.Matches(String.Concat(sql, " "));
     foreach(Match m in matches)
          result.Add(m.Value);
     return result;
}
注意看第三行,Regex paramReg = new Regex(@"@\w*"),它的其他机制是用正则表达式分组匹配,例如有以下sql语句:
SELECT * FROM students WHERE fname=@name;
SELECT @@ROWCOUNT
提取的时候连@@ROWCOUNT这样的变量都会被提取出来,

显然这不是我们想要的,我们想要的结果是,只提取@name这个参数名,这显然是不能满足要求的,真则表达式@"@\w*"未免处理得太草率了,还好开源的东西有源码好修改,最好花了10分钟时间(真是惭愧啊,好久没有用这玩意了)写正则表达式:([^@@](?<p>@\w+))|(?<p>^@\w+)

最后修改的代码如下:

private static List<string> ParseParameters(string sql)
{
     List<string> result = new List<string>();
     //Regex paramReg = new Regex(@"@\w*");
     //2009-2-29 修正正则表达式匹配参数时,Sql中包括@@rowcount之类的变量的情况,不应该算作参数
     Regex paramReg = new Regex(@"[^@@](?<p>@\w+)");
     MatchCollection matches = paramReg.Matches(String.Concat(sql, " "));
     foreach(Match m in matches)
          result.Add(m.Groups["p"].Value);
     return result;
}
 
各位如果还有简单点的写法,请留言告知这下,谢谢。
weixin_33736649
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
正则表达式提取SQL
08-02
NULL 博文链接:https://duanhengbin.iteye.com/blog/1962431
C#自动给据sql中的带@的变量提取变量名称在从简单数据对象中取得生成SqlParameter数组进行数据插入(利用反射完成)
ljl_xyf的专栏
08-20 1443
C#自动给据sql中的带@的变量提取变量名称在从简单数据对象中取得生成SqlParameter数组进行数据插入//自动取得sql中的带@的变量,生成SqlParameter数组,从简单数据对象中取得sql中所需变量值public class ziDongGetSqlPara{    #region   public static object[] g
正则表达式替换sql语句中的参数
penghuaiyi2008的专栏
03-29 584
import java.util.ArrayList; import java.util.Collection; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Map; import java.util.regex.Matcher; import...
正则匹配 sql语句参数
weixin_30588675的博客
01-26 403
List<string> listcommand = new List<string>(); string sql = "update BMDMB set bmdmb_name=:bmdmb_name,parent_id=:parent_id where bmdmb_id=:bmdmb_id "; //string pattern = "(?...
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
Subsonic:Subsonic是一个完整的个人媒体流解决方案。-开源
05-09
Subsonic是基于Web的媒体流媒体,可无所不在地访问您的音乐和视频收藏。 超过20种应用程序可用于Android,iPhone,Windows Phone,BlackBerry,Roku,Chumby,Sonos等。几乎支持所有媒体格式,可即时转换文件。 还...
amperfy:Amperfy是一个iOS应用,可播放来自Ampache或Subsonic服务器的歌曲
04-07
Amperfy是一个用Swift编写的iOS应用程序,可与或服务器进行交互。 特征 离线支持 首次登录后同步数据库 后台同步以使数据库保持最新 锁定屏幕上的玩家互动 可遥控 从数据库同步图稿 播放列表下载和上传 暗模式支持 ...
SubSonic3.0.0.4.1源码包,已修复了一些Bug
08-10
2、使用SubSonic.Query.Select和SubSonic.Query.SqlQuery查询时,设置了Top属性后,产生的“未处理InvalidOperationException异常(关键字'TOP'附近有语法错误)”Bug 3、生成的表名自动加复数(s)产生的“用户代码...
airsonic:Airsonic,一个自由和开源社区驱动的媒体服务器(Subsonic和Libresonic的分支)
02-03
您可以同时流式传输给多个播放器,例如,厨房中的一个播放器和客厅中的另一个播放器。 Airsonic旨在处理非常大的音乐收藏(数百GB)。 尽管针对MP3流进行了优化,但它适用于可以通过HTTP流式传输的任何音频或视频...
Jmeter中使用正则表达式提取XML结果中的值做参数
sankoudoudou的博客
04-22 5656
背景:jmeter中socket请求返回的数据格式为XML,需要做参数化关联,也就是A接口的返回结果做为B接口的请求参数 说明:可以使用XPath Extractor方法或者正则表达式提取器(Regular Expression Extractor)提取,正则表达式的好处就是不管返回数据的位置如何变动,都不影响要取的值,操作起来也方便简单.所以我们用正则表达式来做. PS:既然要对处理结果做提...
sql正则提取固定内容
查数菇乐园
02-20 1万+
regexp_extract 语法: regexp_extract(string subject, string pattern, int index) 返回值: string 说明: 将字符串subject按照pattern正则表达式的规则拆分,返回index指定的字符。 第一参数string subject: 要处理的字段 第二参数string pattern: 需要匹配的正则表达式 第三个参数int index: 0是显示与之匹配的整个字符串 1 是显示第一个括号里面的 2 是
使用正则表达式解析SQL语句
zeng622peng的专栏
08-19 1570
<br />代码:<br />本文乃原创,转载请注明出处。<br /><br />先看要解析的样例SQL语句:select * from dual<br />SELECT * frOm dual<br />Select C1,c2 From tb<br />select c1,c2 from tb<br />select count(*) from t1<br />select c1,c2,c3 from t1 where condi1=1 <br />Select c1,c2,c3 From t1 Whe
使用正则表达式获取Sql查询语句各项(表名、字段、条件、排序)
alili1991的博客
03-27 1951
    string text = "select * from [admin] where aa=1 and cc='b' order by aa desc ";     Regex reg = null; reg = new Regex(@"\s+from\s+.*?(\s+where\s+|\s+order\s+|\s+group\s+)|...
正则表达式取出sql语句中的表
08-29 610
出一个有挑战性的问题---用pl/sql解析SQL 先出一个初步的需求,对于insert/update 语句。怎么取得source table 和 target tableexample 1insert into table_...
java正则匹配sql语句_如何使用JAVA正则表达式从文件中提取SQL文句
weixin_30915487的博客
03-02 962
如何使用JAVA正则表达式从文件中提取SQL文句使用JAVA正则表达式,从一个文件中读取SQL文句(SELECT)...String regex = "((SELECT|select)(.*?);)";Pattern p = Pattern.compile(regex);Matcher m = p.matcher(rec);if (m.find()){System.out.println(m.gr...
正则表达式SQL条件的左边字段和右边值分别取出来
06-17 5260
sql事例:select * from table1 where a1=221 and b2=33 and c3 in (1,2,3) and d5  正则:     ([^()\s]+)(?:[=\()?([^()\s]+)(?(a)\)) 或者:      (\w+)(?:=| in \(| 匹配等号左右两边有空格的情况:   ([^()\s]+)\s*(?:[=
正则表达式正则表达式匹配SQL中的函数名
九师兄
07-04 3038
正则1: \s{1}\S+\s{0}\((.*?)\) 解释: 正则 必须以 空格开头,紧接着中间字符串一次到多个,紧接着没有空格,紧接着是左括号,中间一些东西,右括号 正则2: ([\w]*\.?[\w]+)\((.*?)\) 待匹配数据 select report.branch_client_asset_struc('aa1',1,200);select report.bran...
https://mirrors.tuna.tsinghua.edu.cn/subsonic/ 这个地址打不开啊
最新发布
06-12
非常抱歉,可能是因为该镜像站点的地址已经发生变化了。您可以尝试访问以下地址: 1. 清华大学开源软件镜像站:https://mirrors.tuna.tsinghua.edu.cn/ctan/subsonic/ 2. 阿里云开源镜像站:https://mirrors.aliyun.com/subsonic/ 在这些网站中,您可以找到Subsonic的Windows版本,并选择适合您的CPU架构的版本进行下载。希望这些信息对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值