SQL WHERE IN参数化编译写法简单示例
更新时间:2019年11月17日 16:21:07 作者:nmask
这篇文章主要给大家介绍了关于SQL WHERE IN参数化编译写法的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用SQL具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
前言
最近在一次使用sql中的where in语句时,造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时,会出现一些意外情况。再查阅了一些资料以及手动测试后,发现是自己sql语句写法存在问题,在此记录。
例子
业务需求,需要通过SQL语句从asset资产表中查询域名字段在(“thief.one”,”nmask.cn”,”sec.thief.one”)范围内的数据库记录,SQL语句该怎么写呢?
拼接法(错误)
values = "'thief.one','nmask.cn','sec.thief.one'"
sql = "select * from asset where domain in ("+values+")"
print sql
说明:通过将搜索条件以字符串拼接的方式构造sql语句,语法上可通过,但存在着安全隐患(参照sql注入漏洞)
参数化1(错误)
values = (("thief.one","nmask.cn","sec.thief.one"),)
sql = "select * from asset where domain in %s"
print sql
print values
说明:通过参数化方式,将where in 后面的查询内容传入。表面上看没问题,但在编译过程中,会将(“thief.one”,”nmask.cn”,”sec.thief.one”)整体看成一个字符串,而作为查询条件,与需求不符合。
参数化2(正确)
values = ("thief.one","nmask.cn","sec.thief.one")
sql = "select * from asset where domain in ({})".format(",".join(['%s' for i in values]))
print sql
print values
说明:通过计算values里面字符串个数,动态构造编译的参数。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对脚本之家的支持。
相关文章
eXtremeDB 6.0正式发布:提高扩展性和分布式查询速度
这篇文章主要介绍了eXtremeDB 6.0正式发布:提高扩展性和分布式查询速度,本文详细介绍了全新的eXtremeDB 6.0的一些特性,需要的朋友可以参考下2014-10-10
关于ADOX的相关知识...2006-12-12
如何让你的SQL运行得更快...2007-06-06
这篇文章主要介绍了数据库安装包和升级包脚本工具RedGate使用介绍,RedGate是一个SQL脚本生成工具,需要的朋友可以参考下2014-07-07
这篇文章主要介绍了数据分析之ELT的基本概念, ETL是英文Extract-Transform-Load的缩写,用来描述将数据从来源端经过抽取(extract)、转换(transform)、加载(load)至目的端的过程,需要的朋友可以参考下2023-07-07
关于Rsa Public Key not Find的问题及解决
这篇文章主要介绍了关于Rsa Public Key not Find的问题及解决方案,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-07-07
SQLMap是一款自动执行SQL注入的审计工具,支持多种SQL注入技术,包括布尔型盲注、时间型盲注、报错型注入、联合查询注入和堆叠查询注入2025-01-01
当数据库变慢时,我们应如何入手,下面的解决方法。2009-04-04
这篇文章主要介绍了新推出的金融版eXtremeDB 6.0功能改进预览,如运用SQL, Python实现的基于矢量的统计功能、分布式的查询处理、市场数据压缩等内容,需要的朋友可以参考下2014-10-10
有时候我们需要判断当a、b、c三个字段同时为0则不显示,下面这个方法不错,需要的朋友可以参考下2013-08-08
最新评论