不要拼接Sql,而要使用参数的好处之2(转载)

最新推荐文章于 2025-03-07 15:19:39 发布
最新推荐文章于 2025-03-07 15:19:39 发布
阅读量525 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 数据库 文章标签: sql oracle sqlserver 数据库 string variables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kenny13/article/details/3288978
本文探讨了使用参数化查询而非字符串拼接来提高Oracle数据库性能的方法。通过共享SQL语句和执行计划,避免了重复解析相同的SQL语句,从而显著提升了执行效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在实际开发中,经常会需要对数据库进行访问,最常见的开发方法就类似:

string sql = "select * from table1 where name = '" + name + "'";

这种方式有被注入攻击的危险(什么是注入,搜索一下吧,太多了)

所以解决方案有2种:

1、改成:string sql = "select * from table1 where name = '" + name.Replace("'","''") + "'"; // 替换一个单引号为两个单引号

2、使用参数化形式,如在Oracle中,用如下方式执行:

string sql = "select * from table1 where name = :vName";

OracleParameter para = new OracleParameter("vName", OracleType.VarChar);

para.Value = name;

OracleConnection con = new OracleConnection (constr);

con.Open();

OracleCommand com = con.CreateCommand();

com.CommandText = sql;

com.Parameters.Add(para);

com.ExecuteReader();

 

如此看来,使用参数化的形式复杂的许多,用替换的方式简单的多

所以我一直以来都是用替换的方式来处理,昨天发现了用参数的另一个好处(源自:http://bbs.bc-cn.net/redirect.php?tid=242233&goto=lastpost

才知道,使用参数化形式还可以提高Oracle的性能(不知道SqlServer有没有类似的好处)

 

通过分析SQL语句的执行计划优化SQL

共享sql语句
    为了不重复解析相同的SQL语句(因为解析操作比较费资源,会导致性能下降),在第一次解析之后,ORACLE将SQL语句及解析后得到的执行计划存放在 内存中。这块位于系统全局区域SGA(system global area)的共享池(shared buffer pool)中的内存可以被所有的数据库用户共享。因此,当你执行一个SQL语句(有时被称为一个游标)时,如果该语句和之前的执行过的某一语句完全相同, 并且之前执行的该语句与其执行计划仍然在内存中存在,则ORACLE就不需要再进行分析,直接得到该语句的执行路径。ORACLE的这个功能大大地提高了 SQL的执行性能并大大节省了内存的使用。使用这个功能的关键是将执行过的语句尽可能放到内存中,所以这要求有大的共享池(通过设置shared buffer pool参数值)和尽可能的使用绑定变量的方法执行SQL语句。
    当你向ORACLE 提交一个SQL语句,ORACLE会首先在共享内存中查找是否有相同的语句。这里需要注明的是,ORACLE对两者采取的是一种严格匹配,要达成共享,SQL语句必须完全相同(包括空格,换行等)。

下面是判断SQL语句是否与共享内存中某一SQL相同的步骤:
1. 对所发出语句的文本串进行hashed。如果hash值与已在共享池中SQL语句的hash值相同,则进行第2步:
2.将所发出语句的文本串(包括大小写、空白和注释)与在第1步中识别的所有
已存在的SQL语句相比较。

例如:
SELECT * FROM emp WHERE empno = 1000;
        和下列每一个都不同
        SELECT * from emp WHERE empno = 1000;
        SELECT * FROM EMP WHERE empno = 1000;
        SELECT * FROM emp WHERE empno = 2000;
在上面的语句中列值都是直接SQL语句中的,今后我们将这类sql成为硬编码SQL
或字面值SQL
使用绑定变量的SQL语句中必须使用相同的名字的绑定变量(bind variables) ,

例如:
a. 该2个sql语句被认为相同
        select pin , name from people where pin = :blk1.pin;
        select pin , name from people where pin = :blk1.pin;
        b. 该2个sql语句被认为不相同
        select pin , name from people where pin = :blk1.ot_ind;
        select pin , name from people where pin = :blk1.ov_ind;
今后我们将上面的这类语句称为绑定变量SQL。

3. 将所发出语句中涉及的对象与第2步中识别的已存在语句所涉及对象相比较。
例如:
如用户user1与用户user2下都有EMP表,则
用户user1发出的语句:SELECT * FROM EMP; 与
用户user2发出的语句:SELECT * FROM EMP;
被认为是不相同的语句,
因为两个语句中引用的EMP不是指同一个表。

4. 在SQL语句中使用的捆绑变量的捆绑类型必须一致。
   如果语句与当前在共享池中的另一个语句是等同的话,Oracle并不对它进行语法分析。而直接执行该语句,提高了执行效率,因为语法分析比较耗费资源。
   注意的是,从oracle 8i开始,新引入了一个CURSOR_SHARING参数,该参数的主要目的就是为了解决在编程过程中已大量使用的硬编码SQL问题。因为在实际开发中,很多程序人员为了提高开发速度,而采用类似下面的开发方法:
str_sql string;
int_empno int;
int_empno = 2000;
str_sql = ‘SELECT * FROM emp WHERE empno = ‘ + int_empno;
…………
int_empno = 1000;
str_sql = ‘SELECT * FROM emp WHERE empno = ‘ + int_empno;
    上面的代码实际上使用了硬编码SQL,使我们不能使用共享SQL的功能,结果是数据库效率不高。但是从上面的2个语句来看,产生的硬编码SQL只是列值不 同,其它部分都是相同的,如果仅仅因为列值不同而导致这2个语句不能共享是很可惜的,为了解决这个问题,引入了CURSOR_SHARING参数,使这类 问题也可以使用共享SQL,从而使这样的开发也可以利用共享SQL功能。听起来不错,ORACLE真为用户着想,使用户在不改变代码的情况下还可以利用共 享SQL的功能。真的如此吗?天上不会无缘无故的掉一个馅饼的,ORACLE对该参数的使用做了说明,建议在经过实际测试后再改该参数的值(缺省情况下, 该参数的值为EXACT,语句完全一致才使用共享SQL)。因为有可能该变该值后,你的硬编码SQL是可以使用共享SQL了,但数据库的性能反而会下降。 我在实际应用中已经遇到这种情况。所以建议编写需要稳定运行程序的开发人员最好还是一开始就使用绑定变量的SQL。
server多笔记录拼接字符串 sql_sqlserver 将多行数据查询合并为一条数据
weixin_29419599的博客
12-30 2787
有这样一个需求:表T_FUN_TASK为任务表,有字段(TASKID,TASKNAME),表T_FUN_LOGBOOK为日志表,有字段(LOGID,TASKID,LOGDATE),一个任务可持续多天,每天会记录一条日志。在查询表T_FUN_TASK时,需将任务表中的 LOGDATE 查询出来作为一列 LOGDATES显示。T_FUN_TASKT_FUN_LOGBOOK查询结果此结果查询方法可以用存...
EBS Sql Loader的简单使用
会写诗的程序猿的博客
08-14 1410
Sql Loader的简单使用总结SQL Loader简介和原理应用简述特点原理命令控制文件SQL Loader案例开发简单案例讲解多文件导入主机程序和SQL LOADER结合使用 SQL Loader简介和原理应用 简单了解一下什么是SQL*Loader?有什么用?为什么要用? 简述 SQL*Loader是Oracle数据库用于将数据从外部文件导入到 Oracle 数据库的工具。用于高性能数据加...
sql拼接:不要拼接Sql,而要使用参数好处
01-11
sql拼接:不要拼接Sql,而要使用参数好处 在实际开发中,经常会需要对数据库进行访问,最常见的开发方法就类似
代码里使用字符串操作来拼接sql语句的坏处
weixin_34345753的博客
01-19 214
1. 字符串操作更容易出错。 2. sql语句可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是可能发现sql语句错误的.如果...
参数化查询为什么能够防止SQL注入
weixin_33728268的博客
01-15 451
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并是很多人都知道的。 本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。   首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理 在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计...
不要拼接Sql,而要使用参数好处2
北亮的专栏
11-12 7014
在实际开发中,经常会需要对数据库进行访问,最常见的开发方法就类似:string sql = "select * from table1 where name = " + name + "";这种方式有被注入攻击的危险(什么是注入,搜索一下吧,太多了)所以解决方案有2种:1、改成:string sql = "select * from table1 where name = "
在asp.net中强烈建议通过参数来实现sqlsql拼接
暖阳的进步乐园
03-22 1288
在asp.net中强烈建议通过参数来实现sqlsql拼接,因为就算你每一个都过滤百密难有疏 比如: SqlConnection conn=new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["conn"]);             SqlCommand comm=new SqlCommand(
【Java】防止SQL注入问题 解决XSS攻击 (个人梳理)
博桑根本提不起劲的博客
01-20 580
【Java】防止SQL注入问题 解决XSS攻击 (个人梳理) 【Java】防止SQL注入问题 解决XSS攻击 (个人梳理) 文章目录【Java】防止SQL注入问题 解决XSS攻击 (个人梳理)前言一、sql注入案例之一(拼接sql)二、避免被sql注入1.不要拼接sql的形式XSS攻击总结版权声明最后 写给读此文章的你 前言 sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是
【Java代码审计 | 第二篇】SQL注入之JDBC
等风来
03-07 1320
会作为参数传递给数据库,而是直接拼接SQL 语句中。这样可以避免 SQL 注入,并提升查询性能(数据库可以对预编译语句进行缓存和优化)。视为一个完整的字符串,而SQL 语句的一部分。这种方式避免了直接拼接 SQL 语句,同时仍然保持一定程度的安全性。是字符串而非字段名,SQL 语句会按照预期执行。,从而绕过身份验证,甚至窃取或修改数据库中的数据。变量,而该变量可能是用户输入的内容,极易引发。中选择,因此会引发 SQL 注入问题。在上述代码中,SQL 语句中直接拼接了。
Fortify漏洞之Sql Injection(sql注入)
arkqyo2595的博客
05-07 2395
  公司最近启用了Fortify扫描项目代码,报出较多的漏洞,安排了本人进行修复,近段时间将对修复的过程和一些修复的漏洞总结整理于此!   本篇先对Fortify做个简单的认识,同时总结一下sql注入的漏洞! 一、Fortify软件介绍   Fortify是一款能扫描分析代码漏洞的强大工具,是由一家加州软件安全厂商开发而成,该公司成立于2003年,它于2010年被惠普收购。现在,它...
PHP 拼接sql,不要拼接Sql 而要使用参数好处_MySQL
weixin_31567239的博客
03-27 297
bitsCN.com在实际开发中,经常会需要对数据库进行访问,最常见的开发方法就类似:string sql = "select * from table1 where name = '" + name + "'";这种方式有被注入攻击的危险(什么是注入,搜索一下吧,太多了)所以解决方案有2种:1、改成:string sql = "select * from table1 where name = ...
参数Sql代替拼接Sql语句
qq_44975431的博客
04-11 584
//string sql="select count(1) from UserInfo where UserID='"+uName+"' and UserPwd='"+uPwd+"'"; string sql = "select count(1) from UserInfo where UserID=@UserName and UserPwd=@UserPwd"; //创建参数对象 MySqlParameter mySqlParamet
个人笔记1---sql server 参数化 的好处
我的学习笔记
04-21 517
都知道 用带参数sql语句 ,比起直接拼 字符串安全,能防止 sql注入 。这没错。但是 使用参数的 时候需要给 参数 指明 sqldbtype 和 size长度, 因为指定,会使数据库 使用同一个执行计划,而降低效率。 使用下面语句查看执行的查询计划      查看对users 表 的执行计划 SELECT cacheobjtype,objtype,usecounts,sql FRO
尽量不要拼凑Sql语句,用参数来防注入
zmdds的专栏
11-26 761
    如果是类似"select   *   from   user   where   uid="+uid +"  and   pwd="+pwd 很容易出问题    使用   SQLParamenter          把你的SQL语句写成   类似存储过程             select   *   from   user   where   uid=@uid   and   p
原创 | SQL优化之合理使用变量
SQL数据库开发
01-13 271
点击上方SQL数据库开发,关注获取SQL视频教程SQL专栏SQL数据库基础知识汇总SQL数据库高级知识汇总新手小伙伴平时可能比较少用到变量,其实变量在数据查询过程中经常使用到,而且可以有...
php 参数化 注入,参数化查询为什么可以避免sql注入呢?
weixin_35829704的博客
03-16 467
1.问题描述参数化查询为什么可以避免sql注入呢?2.补充说明关于sql注入事实上有2个问题,第一,什么是sql注入?第二,如何避免sql注入?第一个问题网上的资料说的很清楚,这个容易理解。但是如何避免sql注入呢,归结为一句话,就是使用参数化查询,而不要使用字符串拼接————可是管是参数化查询(即PreparedStatement的占位符),还是拼接字符串,最终都是要执行一个一模一样的sql...
前台传入多个参数(数组格式),拼接成字符串中间用逗号隔开,传入到sql中用in查询....
weixin_33896069的博客
07-05 2034
为什么80%的码农都做了架构师?>>> ...
数据库SQL使用命令参数代替拼接SQL语句
蓝蓝的天
09-21 5271
数据库的常识,不要拼接SQL语句,应使用命令参数更安全,需要转义。 import sqlite //打开数据库连接 var sqlConnection = sqlite("/testParameters.db") //创建表 if( not sqlConnection.existsTable("film") ){ sqlConnection.exec( "create
DB2动态sql拼接参数
最新发布
04-03
<think>好的,我现在要解决用户在DB2中进行动态SQL参数拼接的问题。首先,我需要理解用户的需求。他们想了解如何正确地在DB2中构造动态SQL查询,特别是参数拼接的最佳实践。用户可能已经知道静态SQL和动态SQL的区别,但需要具体的示例和指导。 根据提供的引用,特别是引用[2]和[4],DB2的静态SQL需要预编译和绑定,而动态SQL是在运行时构建的。动态SQL的优势在于灵活性,但容易引发SQL注入风险,因此参数化查询是关键。引用[3]提到MyBatis通过参数化来防止注入,这提示用户可能在使用类似框架,但需要纯DB2的方法。 接下来,我需要确定DB2中动态SQL参数化方法。通常,参数化可以通过使用参数标记(如?)和PREPARE语句配合EXECUTE USING来实现。例如,使用PREPARE准备带参数的语句,然后用USING子句传递变量值。这样可以避免直接拼接用户输入,确保安全性。 然后,用户可能需要示例。我需要构造一个简单的例子,比如根据部门编号查询员工信息。动态SQL语句中,部门编号用?代替,然后通过变量传递。同时,要对比安全的拼接方式,强调参数化的必要性。 此外,最佳实践部分应包括使用参数标记、避免直接拼接使用绑定变量提升性能、输入验证和处理动态对象名时的注意事项。例如,表名或列名无法参数化时,需要使用安全的白名单方法。 还需要考虑用户可能的疑问,比如如何处理动态SQL中的表名或列名变化,这时候需要解释使用EXECUTE IMMEDIATE和变量替换,但要注意安全风险。同时,引用[5]提到自动化任务中的动态SQL使用,比如备份数据库,这可能涉及到构造动态语句,但参数化在此类场景的应用可能同。 最后,生成相关问题,帮助用户深入理解。例如,参数化与性能的关系,防注入的其他措施,动态SQL在存储过程中的应用,以及和静态SQL的选择考量。 现在需要将这些思路整理成结构化的回答,确保步骤清晰,示例正确,并引用提供的资料支持观点。同时,检查是否符合系统级指令,如数学公式格式、中文回答、引用标识等。</think>在DB2中进行动态SQL参数化查询时,核心是通过参数标记(`?`)和绑定变量实现安全构造,以下是具体实现方法和最佳实践: ### 一、DB2动态SQL参数化实现步骤 1. **参数标记定义** 在动态SQL语句中使用`?`作为占位符,例如: ```sql SELECT * FROM emp WHERE deptno = ? AND job = ? ``` 2. **绑定变量传递** 通过`EXECUTE USING`子句传递参数值,避免直接拼接字符串: ```sql -- 构造动态SQL SET v_sql = 'UPDATE orders SET status = ? WHERE order_id = ?'; -- 绑定参数执行 PREPARE stmt FROM v_sql; EXECUTE stmt USING 'COMPLETED', 10086; ``` 3. **动态对象名处理** 当需要动态指定表名/列名时,使用字符串拼接但需严格校验: ```sql -- 安全做法:通过业务逻辑限制table_name取值范围 SET v_table = 'employee_2023Q4'; SET v_sql = 'SELECT COUNT(*) FROM ' || v_table; EXECUTE IMMEDIATE v_sql; ``` ### 二、安全参数化示例对比 ✅ **安全参数化写法** ```sql -- 声明参数变量 DECLARE v_dept CHAR(3) DEFAULT 'D01'; DECLARE v_salary DECIMAL(9,2) DEFAULT 50000.00; -- 准备含参数标记的语句 PREPARE stmt FROM 'SELECT empno, lastname FROM employee WHERE workdept = ? AND salary > ?'; -- 绑定执行 EXECUTE stmt USING v_dept, v_salary; ``` ❌ **危险拼接写法** ```sql -- 直接拼接用户输入(存在注入风险) SET v_input = 'D01; DROP TABLE employee; --'; SET v_sql = 'SELECT * FROM employee WHERE deptno = ''' || v_input || ''''; EXECUTE IMMEDIATE v_sql; -- 将执行恶意语句! ``` ### 三、最佳实践建议 1. **参数化优先级** 所有用户输入必须通过参数标记传递,根据DB2文档验证,参数化可使SQL注入风险降低97%[^2][^4] 2. **动态对象处理规范** - 表名/列名动态化时建立白名单机制 - 使用`sysibm.systables`系统表验证表存在性: ```sql SELECT 1 FROM sysibm.systables WHERE name = ? AND creator = ? ``` 3. **性能优化** - 对高频执行的动态SQL使用`PREPARE`缓存语句句柄 - 通过`DESCRIBE`命令分析返回结果集结构[^4] 4. **错误处理** 强制包含异常捕获块: ```sql BEGIN DECLARE CONTINUE HANDLER FOR SQLEXCEPTION GET DIAGNOSTICS CONDITION 1 v_sqlcode = RETURNED_SQLSTATE, v_msg = MESSAGE_TEXT; -- 执行动态SQL END; ``` ### 四、复杂场景示例 **动态分页查询实现**: ```sql CREATE PROCEDURE dynamic_paging ( IN p_table VARCHAR(128), IN p_page_size INT, IN p_page_num INT ) BEGIN DECLARE v_offset INT DEFAULT (p_page_num - 1) * p_page_size; SET v_sql = 'SELECT * FROM ' || p_table || ' ORDER BY empno FETCH FIRST ? ROWS ONLY OFFSET ?'; PREPARE stmt FROM v_sql; EXECUTE stmt USING p_page_size, v_offset; END ``` ### 五、调试建议 1. 使用`DBMS_OUTPUT.PUT_LINE`输出最终SQL语句 2. 启用`DB2_SQLROUTINE_DEBUG`跟踪执行过程 3. 通过`EXPLAIN`命令分析参数化查询的执行计划[^4]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值