charindex妙用

最新推荐文章于 2021-06-03 09:28:57 发布
最新推荐文章于 2021-06-03 09:28:57 发布
阅读量128 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/leeyun/archive/2009/11/05/1596621.html

我们写程序的人都知道,sql注入很难防,保险的做法都是接受参数,而不是拼接字符串。

但在有的情况下,参数实现会变的更复杂。比如 select count(col1) from table1 where col1 in ( 'a','b')

这个in中的条件就是参数,可是sql中处理数组很麻烦啊,怎么办呢?

想到在做like优化的时候,使用过charindex,不知道这里能用不,于是拉不来试了试

exec sp_executesql
N'SELECT COUNT(ID)  FROM [Order ]
WHERE  Status = @condition AND  CHARINDEX('','' + NOMUBER + '','', @cstno + '','')>0',
N'@condition varchar(50),@cstno varchar(370)',
@condition='1',
@cstno=',,CDA016,CDA019,CDA020,CDA018,CDA028,CDA030,CDA037,CDA041,CDA042,CDA046,CDA050,CDA057,CJF,CJL,CDA001,CGW,
CDA012,CDA044,CNA012,CDA002,CDA003,CDA004,CDA005,CDA000,CDA006,CDA010,CDA008,CDA011,CDA015,CDA014,CDA017,CDA021,
CDA022,CDA023,CDA024,CDA025,CDA031,CDA033,CDA035,CDA032,CDA036,CDA038,CDA039,CDA040,CDA043,CDA045,CDA047,CDA048,
CDA054,CDA056,CDA034,CNA043,CDA013,CDA029,' 

结果正确。

请大家注意标红的语句,我在 NOMUBER 前后都加了一个",",如若不然会出现一些莫名其妙的错误。 如:我想查的nomuber=cda,不在前后加个逗号,那么@cstno都匹配了,所以大家用的时候一定要注意自己的这边字符串数组分隔符是什么。

 

转载于:https://www.cnblogs.com/leeyun/archive/2009/11/05/1596621.html

SQL server 采用 subtring、charindex 分隔逗号查字典,拼接查询结果思路及例子
小红薯bilibili
11-25 1051
这个问题差不多想了2天,看起来很简单,确实想了蛮久,查了很多资料都是写函数的,因为自己懒,SQL脚本不想写,别人的函数也不想看,就发呆了好长时间…… ……废话不多说,直接上语句…… 问题:siji这个字段存储的是text, 需要根据siji字段的ID值,到字典去查询对应的名字,然后siji再返回 “李明,张三” 解决思路: (1)text转换成字符串:(convert...
contains、like、charindex、patindex和freetext的区别
mmz99的博客
04-09 1279
contains、like、charindex、patindex和freetext的区别 关于contains: 1.contains 谓词在数据库中检索信息则可以做到区分大小写 2.contains在某些方面所提供的文本查询能力比like强 CONTAINS语句的语法格式为: CONTAINS({column | *}), <contains_search_condition>|&...
CHARINDEX方法实现对字段按指定顺序排序
wozengcong的专栏
06-19 4077
SqlServer的CHARINDEX方法可以实现对字段按照指定的顺序排序,因此,在我们的日常应用中,我们可以灵活的利用CHARINDEX方法把查询的结果按照我们想要的顺序显示。本文主要介绍了这一方法的使用,希望会对读者有所帮助。 AD:51CTO移动APP安全沙龙!马上要爆满,手慢没座位! 在SqlServer有一个这样的SQL查询,select * from
sql注入攻击
dingxingmei的专栏
11-25 728
1 CONVERT() 2 SUBSTRING()   3 CHARINDEX()   4CAST()   5 REPLACE()     6 serverproperty()   7 quotename()  sql 查询出来的结果中含有单引号     8 has_dbaccess() 是否可访问指定数据库 HAS_DBACCESS 如果可以访问该数据库,那么
CHARINDEX 详解及应用
技术百科
05-15 2008
CHARINDEX返回字符串中指定表达式的起始位置。语法CHARINDEX ( e瓁pression1 , e瓁pression2 [ , start_location ] )参数e瓁pression1一个表达式,其中包含要寻找的字符的次序。e瓁pression1 是一个短字符数据类型分类的表达式。e瓁pression2一个表达式,通常是一个用于搜索指定序列的列。e瓁pression2 属于字符串...
Sql server注入之注入绕过
qq_42990434的博客
12-17 4950
本章目录:绕过特性前言测试常见函数绕WAF\-WTS绕安全狗简介简单的爆错bypass简单的联合bypass盲注与储存过程其他绕过语句:绕D盾 绕过特性 前言 我们经常利用一些数据库特性来进行WAF绕过。 在MSSQL中,比如可以这样: 浮点数形式:id=1.1union select 科学计数法形式:id=1e0union select 但其实还可以这样子:id=1.eunion select 通过1.e这样的形式,可以用它绕过D盾的SQL注入防护,通过简单的Fuzz,我们来一起探索一下M
sqlserver 中charindex/patindex/like 的比较
09-11
在SQL Server中,`CHARINDEX`、`PATINDEX`和`LIKE`是三种常见的文本搜索函数,它们在处理字符串查询时各有特点。下面将详细解释这些函数的工作原理、使用场景及性能差异。 `CHARINDEX`函数用于查找一个子字符串在另...
SQLserver中字符串查找功能patindex和charindex的区别
09-11
在SQL Server中,`CHARINDEX`和`PATINDEX`都是用于查找字符串中特定模式的函数,它们都返回模式在字符串中首次出现的位置。然而,两者之间存在关键的区别。 `CHARINDEX`函数主要用于执行精确的字符串匹配,它不支持...
SQL中Charindex和Oracle中对应的函数Instr对比
09-10
在数据库查询语言SQL中,有时候我们需要在字符串中查找特定字符或子串的位置,这时就可以使用`Charindex`(在SQL Server中)和`Instr`(在Oracle中)这两个函数。它们都提供了查找子串在主字符串中出现位置的功能,...
charindex instruction
08-27
`CHARINDEX`是SQL语言中的一个内置函数,用于在字符串中查找特定子串的起始位置。这个函数在数据检索和处理中非常有用,尤其是在需要筛选包含特定字符或字符串的数据时。下面我们将深入探讨`CHARINDEX`的用法、参数...
sql中charindex用法
bingbangx的博客
06-03 1753
CHARINDEX作用   写SQL语句我们经常需要判断一个字符串中是否包含另一个字符串,但是SQL SERVER中并没有像C#提供了Contains函数,不过SQL SERVER中提供了一个叫CHAEINDX的函数,顾名思义就是找到字符(char)的位置(index),既然能够知道所在的位置,当然就可以判断是否包含在其中了。 通过CHARINDEX如果能够找到对应的字符串,则返回该字符串位置,否则返回0。 基本语法如下:   CHARINDEX ( expressionT...
exec 动态脚本 里面的参数和sp_executesql (注意引号,否则容易异常)
weixin_34037977的博客
07-16 328
@indexCt int@DemographicName nvarchar(500)INSERT INTO #finalTemp EXEC('SELECT a.QuestionId,a.AnswerId, b.Name QuestionName,c.Name OptionName,a.Content,'+@indexCt+' Number,'''+@DemographicName+''' Demo...
sql 系统 存储过程的使用方法 转载
weixin_33800593的博客
08-06 231
声明:本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责。因为发觉其危害过大,原文已经经过大量删减及修改,即使这样本文的危害性仍然很大,所以请大家不要对国内的站点做任何具有破坏性的操作。考虑再三,偶还是决定发出来。此招手段歹毒,利用范围广泛,可以说是只要是有sql注射漏洞的网站,只要运用此法99%可以拿到webshell甚至系统权限(不敢把话说满,呵呵,经本人数百次真实“实战演习”,基本上...
charindex
05-24
`CHARINDEX` 是 SQL Server 中的字符串函数,用于查找一个子字符串在另一个字符串中第一次出现的位置。它的语法是: ``` CHARINDEX ( expression1 , expression2 [ , start_location ] ) ``` 其中,`expression1` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值