脚本之家 服务器常用软件
快捷导航
您的位置:首页数据库数据库其它 → SQL WHERE IN参数化编译

SQL WHERE IN参数化编译写法简单示例

 更新时间:2019年11月17日 16:21:07   作者:nmask  
这篇文章主要给大家介绍了关于SQL WHERE IN参数化编译写法的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用SQL具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧

前言

最近在一次使用sql中的where in语句时,造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时,会出现一些意外情况。再查阅了一些资料以及手动测试后,发现是自己sql语句写法存在问题,在此记录。

例子

业务需求,需要通过SQL语句从asset资产表中查询域名字段在(“thief.one”,”nmask.cn”,”sec.thief.one”)范围内的数据库记录,SQL语句该怎么写呢?

拼接法(错误)

values = "'thief.one','nmask.cn','sec.thief.one'"
sql = "select * from asset where domain in ("+values+")"
print sql

说明:通过将搜索条件以字符串拼接的方式构造sql语句,语法上可通过,但存在着安全隐患(参照sql注入漏洞)

参数化1(错误)

values = (("thief.one","nmask.cn","sec.thief.one"),)
sql = "select * from asset where domain in %s"
print sql
print values

说明:通过参数化方式,将where in 后面的查询内容传入。表面上看没问题,但在编译过程中,会将(“thief.one”,”nmask.cn”,”sec.thief.one”)整体看成一个字符串,而作为查询条件,与需求不符合。

参数化2(正确)

values = ("thief.one","nmask.cn","sec.thief.one")
sql = "select * from asset where domain in ({})".format(",".join(['%s' for i in values]))
print sql
print values

说明:通过计算values里面字符串个数,动态构造编译的参数。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对脚本之家的支持。

您可能感兴趣的文章:

相关文章

  • 详细聊聊关于sql注入的一些零散知识点

    详细聊聊关于sql注入的一些零散知识点

    SQL注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数中,再在后台SQL服务器上解析执行进行的攻击,它目前是黑客对数据库进行攻击的最常用的手段之一,这篇文章主要给大家介绍了关于sql注入的一些零散知识点,需要的朋友可以参考下
    2021-10-10
  • 关系型数据库和非关系型数据库概述与优缺点对比

    关系型数据库和非关系型数据库概述与优缺点对比

    这篇文章介绍了关系型数据库和非关系型数据库概述与优缺点对比,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-03-03
  • 关于面试中常问的数据库回表问题

    关于面试中常问的数据库回表问题

    这篇文章主要介绍了关于面试中常问的数据库回表问题,回表就是先通过数据库索引扫描出数据所在的行,再通过行主键id取出索引中未提供的数据,即基于非主键索引的查询需要多扫描一棵索引树,需要的朋友可以参考下
    2023-07-07
  • ubuntu中使用docker下载华为opengauss数据库超简单步骤

    ubuntu中使用docker下载华为opengauss数据库超简单步骤

    openGauss是关系型数据库,采用客户端/服务器,单进程多线程架构,支持单机和一主多备部署方式,备机可读,支持双机高可用和读扩展,这篇文章主要给大家介绍了关于ubuntu中使用docker下载华为opengauss数据库超的简单步骤,需要的朋友可以参考下
    2024-04-04
  • 详细讲解PostgreSQL中的全文搜索的用法

    详细讲解PostgreSQL中的全文搜索的用法

    这篇文章详细介绍了的PostgreSQL中的全文搜索的用法,包括对全文搜索的一些优化的实现,需要的朋友可以参考下
    2015-04-04
  • 8种主流NoSQL数据库系统特性对比和最佳应用场景

    8种主流NoSQL数据库系统特性对比和最佳应用场景

    这篇文章主要介绍了8种主流NoSQL数据库系统特性对比和最佳应用场景,对选择一个NoSQL数据库来说是一个不错的参考文章,需要的朋友可以参考下
    2014-06-06
  • SQL 查询语句积累

    SQL 查询语句积累

    SQL 查询语句积累...
    2006-12-12
  • Sybase 复制与热切换数据

    Sybase 复制与热切换数据

    SYBASE复制服务器(Sybase Replication Server)用来满足日益发展的企业客户/服务器计算机环境的需要。自从复制服务器被广泛应用以来,已成为企业范围内客户/服务器应用模式的基础。
    2009-06-06
  • 数据库设计技巧[转]

    数据库设计技巧[转]

    数据库设计技巧[转]...
    2007-01-01
  • 面试中常常被问到sql优化的几种方案

    面试中常常被问到sql优化的几种方案

    这篇文章主要给大家介绍了关于面试中常常被问到sql优化的几种方案,现在⾯试过程中除了开发的基础,⾯试官通常还会问SQL优化的⽅⾯,SQL优化也能体现出来平时对数据库的理解和技术的⾼低,需要的朋友可以参考下
    2023-08-08

最新评论