前言
最近在一次使用sql中的where in语句时,造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时,会出现一些意外情况。再查阅了一些资料以及手动测试后,发现是自己sql语句写法存在问题,在此记录。
例子
业务需求,需要通过SQL语句从asset资产表中查询域名字段在(“thief.one”,”nmask.cn”,”sec.thief.one”)范围内的数据库记录,SQL语句该怎么写呢?
拼接法(错误)
1
2
3
|
values = "'thief.one','nmask.cn','sec.thief.one'" sql = "select * from asset where domain in (" + values + ")" print sql |
说明:通过将搜索条件以字符串拼接的方式构造sql语句,语法上可通过,但存在着安全隐患(参照sql注入漏洞)
参数化1(错误)
1
2
3
4
|
values = (( "thief.one" , "nmask.cn" , "sec.thief.one" ),) sql = "select * from asset where domain in %s" print sql print values |
说明:通过参数化方式,将where in 后面的查询内容传入。表面上看没问题,但在编译过程中,会将(“thief.one”,”nmask.cn”,”sec.thief.one”)整体看成一个字符串,而作为查询条件,与需求不符合。
参数化2(正确)
1
2
3
4
|
values = ( "thief.one" , "nmask.cn" , "sec.thief.one" ) sql = "select * from asset where domain in ({})" .format( "," . join ([ '%s' for i in values ])) print sql print values |
说明:通过计算values里面字符串个数,动态构造编译的参数。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对服务器之家的支持。
原文链接:https://mp.weixin.qq.com/s?__biz=MzI5NTQ5MTAzMA==&mid=2247484158&idx=1&sn=3d987b3c40183615d05df3929de354f2