sql表參數
① 怎樣在sqlServer中正確使用參數報表
一、帶報表參數的典型應用。
在一個報表中加入參數,最直接的結果就是可以提高查詢語句的重復利用性。如用戶可以通過更改參數來調整顯示的結果等等。對於這些常規的應用筆者不做過多的闡述。筆者現在要說的是,帶參數報表的一些高級應用。
參數報表比較高級的應用就是實現報表鑽取。鑽取是改變維的層次,變換分析的粒度。它包括向上鑽取和向下鑽取。向上鑽取是在某一維上將低層次的細節數據概括到高層次的匯總數據,或者減少維數;向下鑽取是指自動生成匯總行的分析方法。簡單的說,現在資料庫中有一張銷售訂單表。根據這張表可以生成一張各個月份的銷售統計表。但是,有可能用戶在查看這張報表的時候,對某個月份的統計結果有懷疑,為此需要查看這個月份的銷售明細。此時如果利用帶參數的報表實現鑽取功能的話,那麼就不需要重新查詢或者生成報表。而只需要直接在這張報表上點擊月份,系統就會自動打開另外一張報表。這張報表中的內容就是這月份的銷售明細。從技術的角度講,就是通過參數的傳遞,將這張報表的時間信息作為另一張報表的查詢參數。從而讓系統自動根據這個參數來生成相應的數據,從而簡化用戶的操作。
二、帶參數報表要避免注入式攻擊。
在使用參數報表的時候,特別需要注意一點就是防止注入式攻擊。注入式攻擊各位讀者或許都了解。可是對於為什麼使用參數的報表容易引起注入式攻擊,可能大家並不怎麼了解。這主要是因為參數如果採用的是string數據類型所造成的。即如果參數採用的是string數據類型,那麼就表示用戶可以根據需要輸入任何類型的字元串。此時如果用戶輸入了一些注入式攻擊的代碼當作參數,則就可能會導致注入式攻擊。為此如果生成報表時,採用的參數時String數據類型的,就需要特別的注意。為了防止這個注入式攻擊,筆者建議如果採用的參數一定要是String數據類型的話,那麼最好能夠遵循下面的規則。DB2資料庫與SQLServer資料庫的異同
首先,在客戶端將報表查詢語句傳遞給資料庫之前,即將參數復制給Select語句之前,最好進行驗證。即要驗證輸入的參數值中,是否存在一些特殊的符號。這些符號往往跟輸入攻擊有關。如果存在這些特殊字元的話,則需要向用戶提供警告信息,表明存在注入式攻擊的可能性。並且,系統可以拒絕接受這個參數。這個避免注入式攻擊的方法比較消極。如果這些特殊符號確實是查詢參數中包含的內容,那麼也無法使用。
其次,可以通過值列表的方式來向資料庫傳遞參數。在沒有提供值列表的情況下,如果參數是字元類型的,則系統向用戶顯示的是一個可以使用任何值的文本框。此時資料庫管理員可以使用可用值列表的方式來規范化參數的輸入,限制其輸入一些特殊的字元。也就是說,在定義String類型的參數報表時,讓系統向用戶顯示一個下拉的列表框,然後用戶通過選擇來指定參數。這個操作就跟Excel表格中的下拉列框差不多,用戶只能夠選擇資料庫管理員所提供的值,或者說只能夠選擇某張表中存在的值。由於用戶不能夠自己輸入值,而只能夠選擇,這就可以有效的避免注入式攻擊。不過採用這種方式有一個缺陷,就是如果有效的值太多的話,這個列表就會很長。為此用戶在選擇參數的時候,就會很麻煩。如當有效值有500個的話,那麼就需要在500個值中選擇一個值,顯然這有點困難。即使按照參數的名字順序來排列,選擇也是比較麻煩的。大內存SQLServer資料庫的加速劑
第三,可以利用列表查詢的方式,來避免注入式攻擊。即當用戶輸入一個參數之後,系統會自動從一個列表中查詢是否存在這個值。如果存在的話,則將這個參數賦值給查詢語句中的變數。如果不存在的話則提醒用戶參數可能輸入錯誤。如現在有一張銷售訂單明細報表。用戶可能需要根據訂單號碼來查詢銷售訂單明細。此時這個訂單號碼就是一個字元型的參數。當用戶輸入這個參數的時候,並不是馬上傳遞給資料庫,這么做太危險,容易產生注入式攻擊。而是前台應用程序也從後台資料庫中取得所有的銷售訂單的訂單號碼信息。當用戶輸入參數之後,前台應用程序會把這個用戶輸入的參數跟自己查詢出來的信息先進行對比。如果有匹配的信息,就將這個參數傳遞給後台資料庫。如果沒有的話,就向用戶報告錯誤的信息。有些應用程序在設計的時候,還會更進一步。如客戶端程序會先從資料庫中取得訂單號碼與對應的訂單ID。當用戶輸入參數之後,會進行比對。如果比對成功的話,那麼客戶端應用程序會將這個訂單號碼對應的訂單ID作為參數傳遞給查詢語句。也就是說,從資料庫伺服器角度來講,真正的參數是訂單ID(整數型數據類型)而不是訂單號碼(字元串數據類型)。通過這個數據類型轉換,從而可以從根本上防止注入式的攻擊。
以上三種方式都可以很有效的避免注入式攻擊。資料庫管理員需要根據實際應用來選擇合適的解決方案。如當有效值比較少的時候,如按年份來統計銷售訂單時,則可以使用列表的形式。當有效值比較多,特別是這個有效值會自動增長的時候,則可以使用列表查詢的方式。總之一個基本的原則,對於String參數,一定要進行驗證其合法性。否則的話,很容易造成注入式攻擊。
三、對於日期型的數據給與特殊的照顧。
日期型的數據是資料庫中最容易出現問題的一個數據類型。因為不同語言環境下,如英語與漢語環境下,其採用的日期格式是不同的。如果資料庫中定義了某個日期格式,而輸入的參數如果不符合這個格式的話,則系統就會認為這條記錄不存在,從而在報表中查詢不到相關的數據。為此如果在報表中要使用日期型數據參數的話,將會是一件比較麻煩的事情。所以,在應用程序設計時,資料庫管理員最好提醒前台應用程序的設計者,能夠規范化日期的格式。如可以要求他們,對於日期型的數據作為參數時,用戶不能夠手工輸入日期。因為不同的用戶輸入習慣不同,如有些人會按年月日的格式輸入(有些用戶會把8月份寫成08,而有些直接寫成8),有些人則會按月、日、年的格式進行輸入。由於格式不統一,那麼資料庫就很難按照同一個規則進行轉換。為此,對於日期型的數據作為參數時,最好在前台應用程序中能夠規范化輸入的格式。如以一個統計的格式輸入。要做到這一點的話,就可以通過一個日期型的控制項來完成。即用戶不能夠手工輸入日期型的數據。當遇到某個參數時日期型的數據時,當滑鼠定位到這個文本框,則系統就會彈出一個類似日歷的界面。用戶只有通過選擇日期來輸入日期型的數據,從而規范化用戶的輸入。另外也可以通過掩碼的方式來規范用戶輸入的格式。即預先規定年月日的輸入掩碼。用戶在輸入的時候必須按照這個格式,否則的話,系統不會接受用戶的輸入。這兩種方式都可以實現對日期數據的規范化。
當用戶按照同一個格式輸入日期數據後,以後的工作就容易處理了。在將參數傳遞給資料庫的時候,可以在查詢語句中加入一個日期型數據的強制轉換語句。將輸入的日期型數據按照系統表中定義的日期型數據進行轉換。即如果前台客戶端輸入的日期型數據格式是日、月、年(只要輸入的內容統一即可,沒有具體的要求),然後在查詢語句中就可以通過數據類型轉換工具對數據類型進行轉換。如將日、月、年表示的字元型數據類型表示會年、月、日的日期型數據類型。如此的話,就可以保證用戶輸入的參數是資料庫可以識別的。就可以避免因為日期格式不一致或者數據類型不一致而導致報表不能夠抓取記錄。
② SQL查詢中如何使用參數
這樣就只能通過動態拼成SQL了。
begin
declare @sql varchar(max)
set @sql ='SELECT PERSON, POSITION
FROM TABLE_'+變數+'
WHERE TIME>1514156400'
exec (@sql)
end
③ Sql 中如何在函數中傳遞表名參數
我查遍網路找不到,2020.06.28 18:45原創一個目前你能找到的唯一權宜之計:
因sql的函數本身不支持對實體表進行增、刪、改,所以對實體表進行的insert、update、delete均不可用、另外exec也被禁用了,因為動態表名和動態欄位值不會太多,所以想到寫枚舉解決。
--如果函數返回表為@ab table (a1 varchar(100), a2 varchar(100))
--如果表名為@tableName
if @tableName='表1'
insert into @ab select a1,a2 from 表1 where ...
if @tableName='表2'
insert into @ab select a1,a2 from 表2 where ...
如果有欄位名參數為@fieldName,欄位值參數@fieldValue
if @fieldName='a1'
delete from @ab where a1 not like '%' + @fieldValue + '%'
if @fieldName='a2'
delete from @ab where a2 not like '%' + @fieldValue + '%'
--對@ab的其它業務邏輯
...
return
④ sql語句設置表明為參數
ps1.setString(1, name);
這種寫法字元串是會自動加單引號的;
除非改成
String sql ="select backboard,assists,anerror from "+name+" where id<100 order by id desc limit 6";
⑤ sql 資料庫查詢怎樣設置參數
var nID,i : Integer;(先申明變數)
SQl.Clear;
Sql.Add('Select DeptNum,DeptName,DeptDesc from Department where DeptID=:nID') ;
ParamByName('nID').AsInteger := i;
Prepare ;
if Active = False then Active := True ;
其中i值是變數;
⑥ 關於給SQL存儲過程表名作為參數的問題
定義 一個變數
DECLARE @sql Varchar(max)
set @sql= 'SELECT * FROM' +@TableName+ 'where Row between' + @startRecordIndex +'and'+ @endRecordIndex
--最後再
exec @sql
純頁面手打,也不知道有沒有格式上錯誤,但意思已經表達的很清楚了
ALTER procere [dbo].[P_Pro_Women]
(@startRecordIndex int,
@endRecordIndex int,
@TableName varchar(50),
@BrandId int,
@sql Varchar(max))
as
begin
set @sql='SELECT * FROM (SELECT ROW_NUMBER() OVER (ORDER BY ProctId desc)AS Row, * from '+@TableName +' where brandid ='+@BrandId+') where Row between '+ @startRecordIndex+' and '+@endRecordIndex
exec @sql
end
也不知道你是不是這個意思
⑦ sql server 2008 表值參數在哪
SQL SERVERE 2008 新穎之處在於表值參數(TVPS)。基本思想是數據表可以在客戶端應用程序
或者T-SQL 中創建並填充。然後作力一個數據表變數傳遞到存儲過程 或者由用戶自定義的函數中。
這並不是一件要有可無的事情。
DEMO:
//訂單表
CREATE TABLE dbo.Orders(
OrderId INT NOT NULL IDENTITY CONSTRAINT ORDERSPK PRIMARY KEY,
OrderDate DATETIME,
CustomerID INT
)
//訂單明細表
CREATE TABLE dbo.OrderDetails(
OrderId INT NOT NULL CONSTRAINT orderdetailFkOrders REFERENCES Orders,
LineNumber SMALLINT NOT NULL,
ProctID INT
)
---數據表類型
CREATE TYPE OrderDetailsType as TABLE
(
LineNumber INT,
ProctID INT,
IsNew BIT,
IsDirty BIT,
IsDeleted BIT
)
⑧ SQL參數如何設置
密碼應該是系統默認的哪個樣的,你試下看看輸入 sa 或admin 或 administrator這些等等的。。
⑨ 請教帶表名參數的sql函數如何定義
create proc [dbo].[p_getParentPath]
@classid int output,
@tbTable nvarchar(20)
as
begin
declare @sql nvarchar(4000)
declare @re_str as varchar(100)
set @re_str = ''
select @re_str = ltrim(parentid) from s where classid = @classid
while exists (select 1 from s where classid = @classid and parentid <> 0)
begin
--如果直接寫表名,沒有問題
set @sql=' select '+@classid+' = b.classid , '+@re_str+'= ltrim(b.parentid) + '','' + '+@re_str+' from '+@tbTable+' a , '+@tbTable+' b where a.classid ='+@classid+' and a.parentid = b.classid'
exec (@sql)
end
end
⑩ sql 定義 表類型參數
declare @table table (@id int,@name varchar(20))
注意定義變數時,不要和其他變數定義連在一起,要分開,否則報錯
以上,希望對你有所幫助!