高性能安全式SQL拼接

Posted 学习永無止境

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了高性能安全式SQL拼接相关的知识,希望对你有一定的参考价值。

不少开发人员在进行SQL拼接时头痛之极,不知道如何进行拼接操作才会更安全又不影响性能,下面我以存储过程为例与大家分享一个相对比较安全高效的方法

简介:存储过程(Stored Procedure)是在大型数据库系统中,一组为了完成特定功能的SQL 语句集,存储在数据库中,经过第一次编译后再次调用不需要再次编译,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。存储过程是数据库中的一个重要对象,任何一个设计良好的数据库应用程序都应该用到存储过程。

格式
CREATE PROCEDURE [拥有者.]存储过程名
[(参数#1,…参数#1024)]
[WITH
{RECOMPILE | ENCRYPTION | RECOMPILE, ENCRYPTION}
]
[FOR REPLICATION]
AS 程序行
其中存储过程名不能超过128个字。每个存储过程中最多设定1024个参数
(SQL Server 7.0以上版本),参数的使用方法如下:
@参数名数据类型[VARYING] [=内定值] [OUTPUT]
案例
    需求:1、查询一张图片表中前10笔图片信息
    条件:1、按图片类型(imgtype)添加人员编号(agentID)
       2、若图片类型参数为空(NULL)查询所有类型
       3、若添加人员参数为空(NULL)查询所有人员
下面我们来分析一下我们经常使用的两种不同写法 会带来什么样的结果有什么样的不足之处
写法一:(不推荐)
优势:一、阅读或写法简单符合面向过程思路,大多数程序员都喜欢
不足:一、无法防止SQL注入问题;(防SQL注入核心方法:参数化)
   二、影响性能(这种写法参数无法确定导致每次调用时都会重新编译
   三、无法避免特殊符号的影响
 
写法二:(不推荐)
  
优势:1、代码量少,阅读简单
   2、防止了SQL注入问题
不足:1、隐藏了一个定时炸弹(非常可怕的东西)
      1.1、当资料和参数为NULL时 查询条件变成了 NULL=NULL,NULL=NULL真的成立吗?
 
     现在大家应该明白原因了吧,此方法容易导致数据丢失(目前查询中的资料显示 NULL=NULL成立与否跟SQL服务器配置有关,对于这种时对时错的方式最好不用,否则找问题你会后悔死的)
   2、大数据下此写法性能非常低(丢失了索引键)
       2.1、使用存储过程原因(1、提高性能,2、安全,3、逻辑业务.....)大数据下提高查询性能(除硬件,架构..之外),建立索引是非常重要的但是写法不同
会导致索引建丢失 分析一下:
      
反而这种写法性能更高
写法三:(推荐)
优势:一、阅读或写法简单符合面向过程思路,大多数程序员都喜欢
    二、参数化解决SQL注入问题
    三、一次编译通过无需再次编译
    四、利用了索引功能(提升性能)
    五、防止了特殊符号的影响

以上是关于高性能安全式SQL拼接的主要内容,如果未能解决你的问题,请参考以下文章

Statement和PreparedStatement有什么区别?哪个性能更好?预编译语句,防止sql注入问题

性能测试常用sql技巧_Oracle

1行代码实现高性能单例模式

使用dapper时动态拼接查询sql有啥好的方法吗

artTemplate高性能数据模板引擎

Sql语句拼接(EXEC和sp_executesql的区别)