zoukankan      html  css  js  c++  java
  • select..in(参数化) 解决注入式问题

    方案1 为where in的每一个参数生成一个参数,写法上比较麻烦些,传输的参数个数有限制,最多2100个,可以根据需要使用此方案

    using (SqlConnection conn = new SqlConnection(connectionString))
    {
        conn.Open();
        SqlCommand comm = new SqlCommand();
        comm.Connection = conn;
        //为每一条数据添加一个参数
        comm.CommandText = "select * from Users(nolock) where UserID in (@UserID1,@UserId2,@UserID3,@UserID4)";
        comm.Parameters.AddRange(
        new SqlParameter[]{                        
            new SqlParameter("@UserID1", SqlDbType.Int) { Value = 1},
            new SqlParameter("@UserID2", SqlDbType.Int) { Value = 2},
            new SqlParameter("@UserID3", SqlDbType.Int) { Value = 3},
            new SqlParameter("@UserID4", SqlDbType.Int) { Value = 4}
        });
    
        comm.ExecuteNonQuery();
    }

    方案2 使用临时表实现(也可以使用表变量性能上可能会更加好些),写法实现上比较繁琐些,可以根据需要写个通用的where in临时表查询的方法,以供不时之需,能够使查询计划得到复用而且对索引也能有效的利用,不过由于需要创建临时表,会带来额外的IO开销,若查询频率很高,每次的数据不多时还是建议使用方案3,若查询数据条数较多,尤其是上千条甚至上万条时,强烈建议使用此方案,可以带来巨大的性能提升

    using (SqlConnection conn = new SqlConnection(connectionString))
    {
        conn.Open();
        SqlCommand comm = new SqlCommand();
        comm.Connection = conn;
        string sql = @"
            declare @Temp_Variable varchar(max)
            create table #Temp_Table(Item varchar(max))
            while(LEN(@Temp_Array) > 0)
            begin
                if(CHARINDEX(',',@Temp_Array) = 0)
                begin
                    set @Temp_Variable = @Temp_Array
                    set @Temp_Array = ''
                end
                else
                begin
                    set @Temp_Variable = LEFT(@Temp_Array,CHARINDEX(',',@Temp_Array)-1)
                    set @Temp_Array = RIGHT(@Temp_Array,LEN(@Temp_Array)-LEN(@Temp_Variable)-1)
                end    
            insert into #Temp_Table(Item) values(@Temp_Variable)
            end    
            select * from Users(nolock) where exists(select 1 from #Temp_Table(nolock) where #Temp_Table.Item=Users.UserID)
            drop table #Temp_Table";
        comm.CommandText = sql;
        comm.Parameters.Add(new SqlParameter("@Temp_Array", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
        comm.ExecuteNonQuery();
    }
  • 相关阅读:
    Nginx模块开发(2)————下载文件
    Nginx模块开发(1)————类helloworld
    Nginx编译与安装
    初次认识Ngnix
    一个简单的wed服务器SHTTPD(9)————main函数文件,Makefile,头文件
    一个简单的wed服务器SHTTPD(8)———— URI分析
    一个简单的wed服务器SHTTPD(7)———— SHTTPD内容类型的实现
    一个简单的wed服务器SHTTPD(6)———— SHTTPD错误处理的实现
    一个简单的wed服务器SHTTPD(5)————服务器SHTTPD请求方法解析
    linux 权限管理
  • 原文地址:https://www.cnblogs.com/Denny_Yang/p/3630677.html
Copyright © 2011-2022 走看看