sql server 中将由逗号“,”分割的一个字符串,转换为一个表,并应用与 in 条件...

SQL Server IN子句安全使用
最新推荐文章于 2024-01-11 15:16:07 发布
最新推荐文章于 2024-01-11 15:16:07 发布 · 634 阅读 · 0
文章标签:

#数据库 #javascript #ViewUI

本文介绍了一种在SQL Server中将逗号分隔的字符串安全地转换为表的方法,用于IN子句中,避免SQL注入风险。通过创建一个临时表来存储字符串中的每个元素,确保了查询的安全性和效率。

sql server 中将由逗号“,”分割的一个字符串,转换为一个表,并应用与 in 条件

select * from tablenmae where id in(1,2,3)

这样的语句和常用,但是如果in 后面的 1,2,3是变量怎么办呢,一般会用字符串连接的方式构造sql语句

string aa=”1,2,3”;

string sqltxt=”select * from tablename where id in (“+aa+”)”;

然后执行 sqltxt

这样的风险是存在sql注入漏洞。那么如何在 in 的条件中使用变量呢?可以把形如“1,2,3”这样的字符串转换为一个临时表,这个表有一列,3行,每一行存一个项目(用逗号分隔开的一部分)

该函数可以这样写:
然后sql语句就可以这样了

declare str vchar(100)

set str=’1,2,3’

select * from tablename where id in (select str2table from StrToTable(@str) )

<script type="text/javascript"> $(function () { $('pre.prettyprint code').each(function () { var lines = $(this).text().split('\n').length; var $numbering = $('<ul/>').addClass('pre-numbering').hide(); $(this).addClass('has-numbering').parent().append($numbering); for (i = 1; i <= lines; i++) { $numbering.append($('<li/>').text(i)); }; $numbering.fadeIn(1700); }); }); </script>
iteye_20240
关注
Mysql通过存储过程分割字符串为数组
12-16
- `REVERSE(str)` 是一个MySQL字符串函数,它接收一个字符串参数`str`,返回一个字符串,其字符顺序字符串相反。这个函数在分割字符串为数组时,用于倒序排列字符串以便于后续操作。 2. **SUBSTRING_...
精选资源
mybatis Mapper.xml中传参多选 字符串形式逗号分隔 AND中拼接OR.rar
07-12
例如,如果用户选择的标签以逗号分隔的字符串"tag1,tag2,tag3"传入,我们可以在Java代码中将分割存入List。 接下来,我们将焦点转到Mapper.xml文件。在SQL语句中,我们可以使用`<foreach>`标签来遍历集合中的...
sql server字段是逗号分割的id,关联明细查询
weixin_33948416的博客
01-05 870
有时候一张一个字段是以逗号分割一个字符串分割的数字是明细的主键id。 关联明细查询可以这样做: declare @str as nvarchar(1000) declare @areanos as nvarchar(200) --这是把areanos字段赋值给@areanos变量 set @areanos='1,2,3' --将拼接的SQL脚本赋值给变量 set...
sql 分割字符串
chlung
11-21 531
create function dbo.fn_split( @in_source nvarchar(4000), -- 被分割字符串 @in_delimiter nvarchar(10) -- 分割符 ) returns @temp table(seq int identity, value nvarchar(100)) as begin declare @i int, @len i...
Sql Server 中将逗号“,”分割一个字符串转换一个集,应用in 条件
人生有酒多忘欢
10-14 1万+
Sql Server 中将逗号“,”分割一个字符串转换一个应用 in 条件 select * from tablenmae where id in(1,2,3)这样的语句和常用,但是如果in 后面的 1,2,3是变量怎么办呢,一般会用字符串连接的方式构造sql语句string aa=”1,2,3”;string sqltxt=”select * from tablename wher
sql server查询结果中是以逗号分割数据处理方式
weixin_46115507的博客
01-11 2912
待办流程中的执行人可以多选,如果发起人选择的执行人是多个sql查询到的数据则是:xx,xx,如:267,298我的sql server版本是12版本的,还没有sql server 16的string_split函数,所以得自己处理这种数据.
SQL变量截取字符串内容字符串内容根据符号进行拆分
u013597888的专栏
01-04 888
SQL字符串内容根据符号进行拆分
Sql Server 中将逗号“,”分割一个字符串转换应用in 条件
最新发布
11-21
SQL Server 中,如果你有一个存储了由逗号分隔的字符串,比如 `tags` 列,你想在查询时将其应用于 `in` 条件,你需要先通过 `split_string()` 函数或者自定义函数(如 `STRING_SPLIT()` 或 `fn_split()`,...
sql server 2008 将一列值转换一个字符串
12-12
假设我们有一个名为`entp`的,其中包含一个名为`innerID`的整数字段,现在我们需要将这个字段的所有值转换一个逗号分隔的字符串。 #### SQL语句实现 下面的SQL语句展示了如何实现这一目标: ```sql DECLARE...
Sqlserver中将逗号分隔的字符转换可以IN数据集合
北方的木的博客
11-11 2813
SELECT c.value('.', 'varchar(50)') AS list FROM fy_DailyExpense a CROSS APPLY ( SELECT CAST('<row>' + REPLACE(ExpenseApplyGUIDs, ',', '</row><row>') + '</row>' AS XML) AS xmlcode ) C1 CROSS APPLY xmlcode.nodes('*') t(c) 效果图 .
SQLServer中的切割字符串SplitString函数
09-11
有时我们要用到批量操作时都会对字符串进行拆分,可是SQL Server中却没有自Split函数,所以要自己来实现了。没什么好说的,需要的朋友直接拿去用吧
sqlserver中根据某个字符切割字符串函数
08-29
sqlserver中根据某个字符切割字符串函数,比如根据逗号切割字符串,结果返回的是一个值函数,这个函数返回结果字段包含Id和Value,Id为序号,Value为切割后的值
SQLSERVER 字符串分割
半雨微凉
07-31 2万+
情景描述: 项目中有个地方需要向数据库中插入几条数据,由此引发的一系列问题~ 项目要求: 1、使用存储过程 2、代码和数据库相关业务分离 以下为几种方案: 1、最初的方案是存储过程中插入一条数据,代码中循环调用存储过程进行插入(被PASS,原因是多次调用影响效率) 2、代码中拼接成一条SQL语句,然后传给存储过程,执行一次操作即可(被PASS,要实现业务分离) 3、通过文件批量插入...
SQL server aids存在多个id以逗号分隔的字段,求对应b中的字段同样以逗号分隔
weixin_43942765的博客
06-15 1092
SQL server aids存在多个id以逗号分隔的字段,求对应b中的字段同样以逗号分隔
MySQL中字段内容是用逗号分隔的 另一含有对应数据的两联合查询(转载)...
dg137366033的博客
09-11 1460
该文章是转载,用于记录一下。原文章出处在:https://blog.csdn.net/Knight_quan/article/details/51767827 有时为了数据库简洁,存放数据的时候,某一字段采用逗号隔开的形式进行存储。 一般情况这个字段都应该具有如下几个共性。 被分割的字段一定是有限而且数量较少的,我们不可能在一个字符串中存储无限多个字符 这个字段所属的这个...
sqlserver逗号分割字符串拆分到临时
o0wufan0o的专栏
04-25 5992
alter FUNCTION [dbo].[func_split](@str nvarchar(4000),@separtor varchar(10))      returns @temp table([row] [int] IDENTITY(1,1) NOT NULL,valuess nvarchar(4000))      as     begin      declare @i i
sql数据库逗号分割字符串 转换为可放入 in条件语句 的 字符数列
yssa1125001的博客
10-26 2620
在orcal或者mysql中,有in的限制条件in中可以写数字或者字符串,这里说的是使用mybatis传入参数问题 例如:如果中id为字符串类型,则in中的id要用单引号引住。 SELECT * FROM TABLE1 t WHERE t.id in ('1','2') 如果中id为int类型,则in中可以加单引号可以不加 SELECT * FROM TABLE1 t WHERE t.id in (1,2) 所以如果id为int类型,前台可以直接传入字符串即可,例如..
sql server 中将逗号“,”分割一个字符串转换一个应用in 条件,方法和调用...
dingyo4930的博客
12-16 357
create Function StrToTable(@str varchar(1000)) Returns @tableName Table ( str2table varchar(50) ) As --该函数用于把一个逗号分隔的多个数据字符串变成一个的一列,例如字符串'1,2,3,4,5' 将编程一个,这个 Begin set @str = @str...
sql逗号分割字符串转换为可放入in条件语句的字符数列
热门推荐
lianzhang861的博客
09-12 2万+
在orcal或者mysql中,有in的限制条件in中可以写数字或者字符串,这里说的是使用mybatis传入参数问题 例如:如果中id为字符串类型,则in中的id要用单引号引住。 SELECT * FROM TABLE1 t WHERE t.id in ('1','2') 如果中id为int类型,则in中可以加单引号可以不加 SELECT * FROM TABLE1 t W...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值