程序博客网 > 练听力软件

Oracle execute immediate 拼接条件 参数化

来源:互联网 发布:练听力软件 编辑:程序博客网 时间:2024/06/06 17:25

最近在将项目的数据库改成Oracle,本人对Oracle也是一无所知,边做边摸索。

在使用 execute immediate 动态执行SQL分页,发现网上很多例子都是通过参数值直接拼接成SQL来执行。

对于Oracle新手来说,好像Oracle没有类似 SQLServer exec sp_executesql 参数化查询这样的功能。

例如:

declare  p_accountnum  varchar2(100);  p_groupid     integer;  p_recordcount integer;  p_select      varchar2(500);begin  p_accountnum := 'gh_xxxxxxxxx';  p_groupid    := 109;  p_select     := 'select count(*) from wxuser where 1=1 and accountnum =''' ||  p_accountnum || ''' and groupid =' || p_groupid;  execute immediate p_select into p_recordcount;  dbms_output.put_line(p_recordcount);end;

这样很明显的一样问题,如果参数p_accountnum存在SQL特殊字符,就会出现SQL注入了。当然你也可以在项目程序中对SQL特殊字符进行过滤。

但有时候在写程序中,可能因各种不小心会忘记对SQL特殊字符过滤,所以最可靠的办法就是直接将值参数化,不通过参数值直接拼接成SQL来执行。

这是我写的一个存储过程,希望可以帮到一些Oracle新手。

procedure SelectByWhere(p_accountnum  in varchar2,                          p_groupid     in integer,                          p_pageindex   in integer,                          p_pagesize    in integer,                          p_recordcount out integer,                          v_result      out pack_wxuser.cur_type) is    v_select varchar2(500);    v_where  varchar2(500);  begin    v_where := ' where 1=1';    if p_accountnum is not null and length(p_accountnum) > 0 then      begin        v_where := v_where || ' and accountnum = :a';      end;    else      begin        v_where := v_where || ' and ((1=1) or :a is null)';      end;    end if;    if p_groupid is not null and p_groupid > 0 then      begin        v_where := v_where || ' and groupid = :b ';      end;    else      begin        v_where := v_where || ' and ((1=1) or :b is null)';      end;    end if;    v_select := 'select count(*) from wxuser' || v_where;    dbms_output.put_line(v_select);    execute immediate v_select      into p_recordcount      using p_accountnum, p_groupid;    v_where := v_where || ' order by subscribe_time desc';    if p_pageindex is not null and p_pageindex > 0 and       p_pagesize is not null and p_pagesize > 0 then      begin        v_select := 'select t.* ,g.groupname groupname from (select w.*, rownum as rowno from (select * from wxuser' ||                    v_where || ') w where rownum <=' ||                    (p_pageindex * p_pagesize) ||                    ') t left join wxgroup g on t.groupid=g.groupid where t.rowno >=' ||                    ((p_pageindex - 1) * p_pagesize);      end;    else      begin        v_select := 'select t.*,g.groupname groupname from ( select * from wxuser' ||                    v_where ||                    ' ) t left join wxgroup g on t.groupid=g.groupid';      end;    end if;    dbms_output.put_line(v_select);    open v_result for v_select      using p_accountnum, p_groupid;  end;





0 0
练听力软件 练听力软件
原创粉丝点击
热门IT博客
大圣科技知乎大圣科技知乎
星星知多少视频星星知多少视频
美特斯邦威淘宝
网络推广微信营销
windows安装光盘修复
淘宝内衣 买家秀 禁止
粤贵银交易软件
怎么不能申请淘宝直播
单片机应用系统实例
php源码 虚拟股票
软件看门狗程序
苹果5s2g网络怎么改4g
无间道是什么意思知乎
全景图拼接算法
南拳妈妈的夏天知乎
吐槽电影网络节目
加班工资计算软件
php程序员简历项目经验
手机赚钱网站源码
安徽联新网络怎么样
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 草灯和尚末删版播放国语 大唐酒肉和尚 三个和尚故事 和尚攻在水中h 六如和尚作品 和尚是什么生肖 超萌小和尚图片 给我来个小和尚 当和尚一月多少工资 卡通小和尚图片 帅气和尚爱上我 和尚打坐图片 尼姑庵的和尚 和尚头上有几个点 外来的和尚好念经 当和尚有什么要求 丈二的和尚歇后语 和尚鹦鹉会说话吗 和尚可以吃鸡蛋吗 和尚头上的戒疤 和尚打伞的歇后语 和尚为什么不长头发 和尚命是什么意思 和尚为什么剃光头 和尚打伞打一成语 和尚鹦鹉说话能力 歪嘴和尚的歇后语 梳子卖给和尚的故事 和尚头上的点叫什么 外来的和尚会念经 和尚卖梳子的故事 和尚能吃鸡蛋吗 和尚念经打一成语 和尚头上几个香疤 把梳子卖给和尚的故事 3个和尚的故事 贤公和尚佛门榜样 当一天和尚撞一天钟 和尚挑水的故事 和尚法号大全 当和尚需要什么条件

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里