參數化 SQL 查詢有助於防止 SQL 注入攻擊。但是,當處理可變數量的參數時,傳統方法(在 IN 子句中參數化每個單獨的參數)可能會變得很繁瑣。
一種更優雅的解決方案是參數化 IN 子句中每個可能的值。例如,考慮以下查詢:
<code class="language-sql">SELECT * FROM Tags WHERE Name IN ('ruby','rails','scruffy','rubyonrails') ORDER BY Count DESC</code>要參數化此查詢,您可以將每個值分配給一個數組並創建一個參數化的 IN 子句:
<code class="language-csharp">string[] tags = new string[] { "ruby", "rails", "scruffy", "rubyonrails" };
string cmdText = "SELECT * FROM Tags WHERE Name IN ({0})";
string[] paramNames = tags.Select((s, i) => "@tag" + i.ToString()).ToArray();
string inClause = string.Join(",", paramNames);
using (SqlCommand cmd = new SqlCommand(string.Format(cmdText, inClause)))
{
for (int i = 0; i < tags.Length; i++)
{
cmd.Parameters.AddWithValue(paramNames[i], tags[i]);
}
// ... 执行查询 ...
}</code>此方法生成的命令包含動態生成的名稱和值的參數:
<code class="language-sql">cmd.CommandText = "SELECT * FROM Tags WHERE Name IN (@tag0, @tag1, @tag2, @tag3)" cmd.Parameters["@tag0"] = "ruby" cmd.Parameters["@tag1"] = "rails" cmd.Parameters["@tag2"] = "scruffy" cmd.Parameters["@tag3"] = "rubyonrails"</code>
需要注意的是,此方法可以安全地防止 SQL 注入攻擊,因為參數化值不是用戶輸入的。注入到 CommandText 中的唯一文本是硬編碼的“@tag”前綴和數組的索引,這些都不是用戶生成的,因此是安全的。
以上是如何使用動態數量的參數將SQL安全化在子句中?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
