使用 LIKE 子句正确格式化 sql 查询

【问题标题】:Proper formatting of sql query with LIKE clause使用 LIKE 子句正确格式化 sql 查询
【发布时间】:2016-03-15 15:57:47
【问题描述】:

我有一个带有 LIKE 子句的 SQL 查询,该子句使用 % 通配符。 我读过 LIKE 子句可能有问题,比如这里:http://githubengineering.com/like-injection/。 但是我不确定对于某些用户输入,下面两个不同的函数调用之间是否存在性能差异(尽管查询本质上是相同的),以及它们之间的差异是否与链接中讨论的内容有关.

我预计对第一个函数的调用只会返回像“&my-query%”这样的结果,因此用户的输入实际上是由两个百分号包围的,但事实并非如此。

(query db ["SELECT * FROM some_table WHERE some_value LIKE ?"
       (str "%" user-input "%")])

(query db ["SELECT * FROM some_table WHERE some_value LIKE '%' ? '%']"
       user-input])

【问题讨论】:

  • 任何涉及用户输入以构建 SQL 的字符串连接都存在安全风险 - 始终使用准备好的语句来设置用户提供的参数。

标签: sql postgresql jdbc clojure sql-like


【解决方案1】:

您的第一个查询对我来说看起来很安全。第二个看起来像无效的 SQL。您似乎正在尝试这样做:

(query db ["SELECT * FROM some_table WHERE some_value LIKE CONCAT('%', ?, '%')"
   user-input])

这也是安全的。

不安全的查询会将用户输入直接嵌入到 SQL 字符串中,如下所示:

(query db [(str "SELECT * FROM some_table WHERE some_value LIKE '%" user-input "%'")])

【讨论】:

  • 您对第二个查询是正确的。我实际上的意思是... LIKE '%' + ? + '%' ... 相当于你的版本。
猜你喜欢
  • 1970-01-01
  • 2013-06-15
  • 2021-08-10
  • 1970-01-01
  • 2020-09-13
  • 2017-04-22
  • 1970-01-01
  • 2023-03-13
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode