前言
最近在一次使用sql中的where in语句时,造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时,会出现一些意外情况。再查阅了一些资料以及手动测试后,发现是自己sql语句写法存在问题,在此记录。
例子
业务需求,需要通过SQL语句从asset资产表中查询域名字段在(“thief.one”,”nmask.cn”,”sec.thief.one”)范围内的数据库记录,SQL语句该怎么写呢?
拼接法(错误)
values = "'thief.one','nmask.cn','sec.thief.one'" sql = "select * from asset where domain in ("+values+")" print sql
说明:通过将搜索条件以字符串拼接的方式构造sql语句,语法上可通过,但存在着安全隐患(参照sql注入漏洞)
参数化1(错误)
values = (("thief.one","nmask.cn","sec.thief.one"),) sql = "select * from asset where domain in %s" print sql print values
说明:通过参数化方式,将where in 后面的查询内容传入。表面上看没问题,但在编译过程中,会将(“thief.one”,”nmask.cn”,”sec.thief.one”)整体看成一个字符串,而作为查询条件,与需求不符合。
参数化2(正确)
values = ("thief.one","nmask.cn","sec.thief.one") sql = "select * from asset where domain in ({})".format(",".join(['%s' for i in values])) print sql print values
说明:通过计算values里面字符串个数,动态构造编译的参数。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对的支持。
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件!
如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
白云城资源网 Copyright www.dyhadc.com
暂无“SQL WHERE IN参数化编译写法简单示例”评论...
更新日志
2024年05月10日
2024年05月10日
- ABC唱片-《模拟万岁.立体魔声》6N纯银镀膜[WAV+CUE]
- 叶启田.1992-唱新歌·演奏畅销金曲【吉马】【WAV+CUE】
- 品冠.2004-门没锁(引进版)【滚石】【WAV+CUE】
- 万玲琳.2020-晚安,失眠的我(EP)【灵气音乐】【WAV分轨】
- 缇ゆ槦銆婄兢鏄熸瓕鏇插悎闆嗐€媅FLAC/鍒嗚建][3.1G]
- 尚雯婕《尚雯婕歌曲合集》[320K/MP3][198MB]
- 半吨兄弟《迷人烟嗓》 [WAV+CUE][527.2MB]
- 欢乐钓鱼大师锦标赛怎么玩 欢乐钓鱼大师锦标赛玩法介绍
- 欢乐钓鱼大师怎么加好友 欢乐钓鱼大师加好友方法
- 欢乐钓鱼大师鱼竿能不能重置 欢乐钓鱼大师鱼竿重置介绍
- 浩声雅韵-《2023第十八届南宁(东盟)国际视听展》珍藏版纪念CD[WAV+CUE]
- 江淑娜1996-长夜悄悄【点将】WAV+CUE
- 王馨平.1993-LINDAWONG【宝丽金】【WAV+CUE】
- 外媒玩了50小时《哈迪斯2》!称比第一部还好玩
- 陈奕迅.2013-MUSIC.LIFE精选4CD【英皇娱乐】【WAV+CUE】