如何使用动态参数数量安全地参数化 SQL IN 子句？

使用动态参数数量参数化 SQL IN 子句

参数化 SQL 查询有助于防止 SQL 注入攻击。但是，当处理可变数量的参数时，传统方法（在 IN 子句中参数化每个单独的参数）可能会变得很繁琐。

参数化每个值

一种更优雅的解决方案是参数化 IN 子句中每个可能的值。例如，考虑以下查询：

<code class="language-sql">SELECT * FROM Tags WHERE Name IN ('ruby','rails','scruffy','rubyonrails') ORDER BY Count DESC</code>

要参数化此查询，您可以将每个值分配给一个数组并创建一个参数化的 IN 子句：

<code class="language-csharp">string[] tags = new string[] { "ruby", "rails", "scruffy", "rubyonrails" };
string cmdText = "SELECT * FROM Tags WHERE Name IN ({0})";

string[] paramNames = tags.Select((s, i) => "@tag" + i.ToString()).ToArray();

string inClause = string.Join(",", paramNames);
using (SqlCommand cmd = new SqlCommand(string.Format(cmdText, inClause)))
{
    for (int i = 0; i < tags.Length; i++)
    {
        cmd.Parameters.AddWithValue(paramNames[i], tags[i]);
    }
    // ... 执行查询 ...
}</code>

此方法生成的命令包含动态生成的名称和值的参数：

<code class="language-sql">cmd.CommandText = "SELECT * FROM Tags WHERE Name IN (@tag0, @tag1, @tag2, @tag3)"
cmd.Parameters["@tag0"] = "ruby"
cmd.Parameters["@tag1"] = "rails"
cmd.Parameters["@tag2"] = "scruffy"
cmd.Parameters["@tag3"] = "rubyonrails"</code>

安全性注意事项

需要注意的是，此方法可以安全地防止 SQL 注入攻击，因为参数化值不是用户输入的。注入到 CommandText 中的唯一文本是硬编码的“@tag”前缀和数组的索引，这些都不是用户生成的，因此是安全的。

以上是如何使用动态参数数量安全地参数化 SQL IN 子句？的详细内容。更多信息请关注PHP中文网其他相关文章！