sql 注入及 in 注入

时间 2019-11-21

标签 sql 注入栏目 SQL 繁體版

原文原文链接

原文地址：html

http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.htmlsql

除了校验参数内容，过滤长度和sql关键字。性能

解决in条件拼接字符串spa

comm.CommandText = "select * from Users(nolock) where UserID in (@UserID1,@UserId2,@UserID3,@UserID4)";
    comm.Parameters.AddRange(
    new SqlParameter[]{                        
        new SqlParameter("@UserID1", SqlDbType.Int) { Value = 1},
        new SqlParameter("@UserID2", SqlDbType.Int) { Value = 2},
        new SqlParameter("@UserID3", SqlDbType.Int) { Value = 3},
        new SqlParameter("@UserID4", SqlDbType.Int) { Value = 4}
    });

文章导读code

拼SQL实现where in查询orm

使用CHARINDEX或like实现where in 参数化xml

使用exec动态执行SQl实现where in 参数化htm

为每个参数生成一个参数实现where in 参数化blog

使用临时表实现where in 参数化索引

like参数化查询

xml和DataTable传参

身为一名小小的程序猿，在平常开发中不能够避免的要和where in和like打交道，在大多数状况下咱们传的参数很少简单作下单引号、敏感字符转义以后就直接拼进了SQL，执行查询，搞定。如有一天你不可避免的须要提升SQL的查询性能，须要一次性where in 几百、上千、甚至上万条数据时，参数化查询将是必然进行的选择。然而如何实现where in和like的参数化查询，是个让很多人头疼的问题。

where in 的参数化查询实现

首先说一下咱们经常使用的办法，直接拼SQL实现，通常状况下都能知足须要

string userIds = "1,2,3,4";
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = string.Format("select * from Users(nolock) where UserID in({0})", userIds);
    comm.ExecuteNonQuery();
}

须要参数化查询时进行的尝试，很显然以下这样执行SQL会报错错误

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users(nolock) where UserID in(@UserID)";
    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
    comm.ExecuteNonQuery();
}

很显然这样会报错误：在将 varchar 值 '1,2,3,4' 转换成数据类型 int 时失败，由于参数类型为字符串，where in时会把@UserID当作一个字符串来处理，至关于实际执行了以下语句

select * from Users(nolock) where UserID in('1,2,3,4')

若执行的语句为字符串类型的，SQL执行不会报错，固然也不会查询出任何结果

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users(nolock) where UserName in(@UserName)";
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, -1) { Value = "'john','dudu','rabbit'" });
    comm.ExecuteNonQuery();
}

这样不会抱任何错误，也查不出想要的结果，由于这个@UserName被当作一个字符串来处理，实际至关于执行以下语句

select * from Users(nolock) where UserName in('''john'',''dudu'',''rabbit''')

由此相信你们对于为什么简单的where in 传参没法获得正确的结果知道为何了吧，下面咱们来看一看如何实现正确的参数化执行where in，为了真正实现参数化where in 传参，不少淫才想到了各类替代方案

方案1，使用CHARINDEX或like 方法实现参数化查询，毫无疑问，这种方法成功了，并且成功的复用了查询计划，但同时也完全的让查询索引失效(在此不探讨索引话题)，形成的后果是全表扫描，若是表里数据量很大，百万级、千万级甚至更多，这样的写法将形成灾难性后果；若是数据量比较小、只想借助参数化实现防止SQL注入的话这样写也无可厚非，仍是得看具体需求。(不推荐)

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    //使用CHARINDEX，实现参数化查询，能够复用查询计划，同时会使索引失效
    comm.CommandText = "select * from Users(nolock) where CHARINDEX(','+ltrim(str(UserID))+',',','+@UserID+',')>0";
    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
    comm.ExecuteNonQuery();
}


using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    //使用like，实现参数化查询，能够复用查询计划，同时会使索引失效
    comm.CommandText = "select * from Users(nolock) where ','+@UserID+',' like  '%,'+ltrim(str(UserID))+',%' ";
    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
    comm.ExecuteNonQuery();
}

方案2 使用exec动态执行SQL，这样的写法毫无疑问是很成功的，并且代码也比较优雅，也起到了防止SQL注入的做用，看上去很完美，不过这种写法和直接拼SQL执行没啥实质性的区别，查询计划没有获得复用，对于性能提高没任何帮助，很有种脱了裤子放屁的感受，但也不失为一种解决方案。(不推荐)

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    //使用exec动态执行SQL
　　//实际执行的查询计划为(@UserID varchar(max))select * from Users(nolock) where UserID in (1,2,3,4)
　　//不是预期的(@UserID varchar(max))exec('select * from Users(nolock) where UserID in ('+@UserID+')')
    comm.CommandText = "exec('select * from Users(nolock) where UserID in ('+@UserID+')')";
    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
    comm.ExecuteNonQuery();
}

方案3 为where in的每个参数生成一个参数，写法上比较麻烦些，传输的参数个数有限制，最多2100个，能够根据须要使用此方案(推荐)

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    //为每一条数据添加一个参数
    comm.CommandText = "select * from Users(nolock) where UserID in (@UserID1,@UserId2,@UserID3,@UserID4)";
    comm.Parameters.AddRange(
    new SqlParameter[]{                        
        new SqlParameter("@UserID1", SqlDbType.Int) { Value = 1},
        new SqlParameter("@UserID2", SqlDbType.Int) { Value = 2},
        new SqlParameter("@UserID3", SqlDbType.Int) { Value = 3},
        new SqlParameter("@UserID4", SqlDbType.Int) { Value = 4}
    });

    comm.ExecuteNonQuery();
}

方案4 使用临时表实现(也可使用表变量性能上可能会更加好些)，写法实现上比较繁琐些，能够根据须要写个通用的where in临时表查询的方法，以供不时之需，我的比较推崇这种写法，可以使查询计划获得复用并且对索引也能有效的利用，不过因为须要建立临时表，会带来额外的IO开销，若查询频率很高，每次的数据很少时仍是建议使用方案3，若查询数据条数较多，尤为是上千条甚至上万条时，强烈建议使用此方案，能够带来巨大的性能提高(强烈推荐)

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    string sql = @"
        declare @Temp_Variable varchar(max)
        create table #Temp_Table(Item varchar(max))
        while(LEN(@Temp_Array) > 0)
        begin
            if(CHARINDEX(',',@Temp_Array) = 0)
            begin
                set @Temp_Variable = @Temp_Array
                set @Temp_Array = ''
            end
            else
            begin
                set @Temp_Variable = LEFT(@Temp_Array,CHARINDEX(',',@Temp_Array)-1)
                set @Temp_Array = RIGHT(@Temp_Array,LEN(@Temp_Array)-LEN(@Temp_Variable)-1)
            end    
        insert into #Temp_Table(Item) values(@Temp_Variable)
        end    
        select * from Users(nolock) where exists(select 1 from #Temp_Table(nolock) where #Temp_Table.Item=Users.UserID)
        drop table #Temp_Table";
    comm.CommandText = sql;
    comm.Parameters.Add(new SqlParameter("@Temp_Array", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
    comm.ExecuteNonQuery();
}

like参数化查询
like查询根据我的习惯将通配符写到参数值中或在SQL拼接均可，两种方法执行效果同样，在此不在详述

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    //将 % 写到参数值中
    comm.CommandText = "select * from Users(nolock) where UserName like @UserName";
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, 200) { Value = "rabbit%" });
    comm.ExecuteNonQuery();
}

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    //SQL中拼接 %
    comm.CommandText = "select * from Users(nolock) where UserName like @UserName+'%'";
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, 200) { Value = "rabbit%" });
    comm.ExecuteNonQuery();
}

看到Tom.汤和蚊子额的评论补充了下xml传参和tvp传参，并对6种方案作了个简单总结

Sql Server参数化查询之where in和like实现之xml和DataTable传参

sql 注入 及 in 注入

where in 的参数化查询实现

sql 注入及 in 注入