sql參數過濾

① 用sql語句怎麼過濾重復數據

有一半是添加表的，因為我沒有你的結果集，所以拼了個表變數做為結果集
，重點在後半部分，處理邏輯是按你的想寫的，前提是如果我沒有理解錯的話
這個方法的結果集返回的是每一年的數據，年數遞增的，行數以有多少個城市為准，不過我感覺你要這樣的結果集沒有什麼意義

declare @tab table(name nvarchar(20), both int)
declare @tabtmp table(name nvarchar(20), both int)
declare @tabname table(name nvarchar(20))
declare @name nvarchar(20)
declare @both int

insert into @tab
select N'上海',1996
union
select N'上海',1997
union
select N'北京',1996
union
select N'北京', 1997

insert into @tabname
select distinct name from @tab

select top 1 @name=name from @tab order by name asc
select @both=MIN(both) from @tab

while(@name is not null)
begin
insert into @tabtmp
select @name,@both

update @tab set name='' where name=@name
set @name=null
select top 1 @name =name from @tab where name<>'' order by name asc
select top 1 @both=both from @tab where both>@both order by both asc
end

select * from @tabtmp

② finereport sql參數過濾問題

select表B.xkflm=case表A.xkflmwhennullthennull
else表A.xkflm
endfrom表Aleftjoin表Bon條件


我不知道你想要的是不是這個樣子。

③ sql注入 安全測試 靠參數過濾可行嗎

首先：我們要了解SQL收到一個指令後所做的事情：具體細節可以查看文章：SqlServer編譯、重編譯與執行計劃重用原理在這里，我簡單的表示為：收到指令->編譯SQL生成執行計劃->選擇執行計劃->執行執行計劃。具體可能有點不一樣，但大致的步驟如上所示。接著我們來分析為什麼拼接SQL字元串會導致SQL注入的風險呢？首先創建一張表Users:CREATETABLE[dbo].[Users]([Id][uniqueidentifier]NOTNULL,[UserId][int]NOTNULL,[UserName][varchar](50)NULL,[Password][varchar](50)NOTNULL,CONSTRAINT[PK_Users]PRIMARYKEYCLUSTERED([Id]ASC)WITH(PAD_INDEX=OFF,STATISTICS_NORECOMPUTE=OFF,IGNORE_DUP_KEY=OFF,ALLOW_ROW_LOCKS=ON,ALLOW_PAGE_LOCKS=ON)ON[PRIMARY])ON[PRIMARY]插入一些數據：INSERTINTO[Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES(NEWID(),1,'name1','pwd1');INSERTINTO[Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES(NEWID(),2,'name2','pwd2');INSERTINTO[Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES(NEWID(),3,'name3','pwd3');INSERTINTO[Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES(NEWID(),4,'name4','pwd4');INSERTINTO[Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES(NEWID(),5,'name5','pwd5');假設我們有個用戶登錄的頁面，代碼如下：驗證用戶登錄的sql如下：selectCOUNT(*)fromUserswherePassword='a'andUserName='b'這段代碼返回Password和UserName都匹配的用戶數量，如果大於1的話，那麼就代表用戶存在。本文不討論SQL中的密碼策略，也不討論代碼規范，主要是講為什麼能夠防止SQL注入，請一些同學不要糾結與某些代碼，或者和SQL注入無關的主題。可以看到執行結果：這個是SQLprofile跟蹤的SQL語句。注入的代碼如下：selectCOUNT(*)fromUserswherePassword='a'andUserName='b'or1=1—'這里有人將UserName設置為了「b'or1=1–」.實際執行的SQL就變成了如下：可以很明顯的看到SQL注入成功了。很多人都知道參數化查詢可以避免上面出現的注入問題，比如下面的代碼：classProgram{="DataSource=.;InitialCatalog=Test;IntegratedSecurity=True";staticvoidMain(string[]args){Login("b","a");Login("b'or1=1--","a");}privatestaticvoidLogin(stringuserName,stringpassword){using(SqlConnectionconn=newSqlConnection(connectionString)){conn.Open();SqlCommandcomm=newSqlCommand();comm.Connection=conn;//為每一條數據添加一個參數comm.CommandText="selectCOUNT(*)fromUserswherePassword=@PasswordandUserName=@UserName";comm.Parameters.AddRange(newSqlParameter[]{newSqlParameter("@Password",SqlDbType.VarChar){Value=password},newSqlParameter("@UserName",SqlDbType.VarChar){Value=userName},});comm.ExecuteNonQuery();}}}實際執行的SQL如下所示：execsp_executesqlN'selectCOUNT(*)fromUserswherePassword=@PasswordandUserName=@UserName',N'@Passwordvarchar(1),@UserNamevarchar(1)',@Password='a',@UserName='b'execsp_executesqlN'selectCOUNT(*)fromUserswherePassword=@PasswordandUserName=@UserName',N'@Passwordvarchar(1),@UserNamevarchar(11)',@Password='a',@UserName='b''or1=1—'可以看到參數化查詢主要做了這些事情：1：參數過濾，可以看到@UserName='b''or1=1—'2：執行計劃重用因為執行計劃被重用，所以可以防止SQL注入。首先分析SQL注入的本質，用戶寫了一段SQL用來表示查找密碼是a的，用戶名是b的所有用戶的數量。通過注入SQL，這段SQL現在表示的含義是查找(密碼是a的，並且用戶名是b的，)或者1=1的所有用戶的數量。可以看到SQL的語意發生了改變，為什麼發生了改變呢？，因為沒有重用以前的執行計劃，因為對注入後的SQL語句重新進行了編譯，因為重新執行了語法解析。所以要保證SQL語義不變，即我想要表達SQL就是我想表達的意思，不是別的注入後的意思，就應該重用執行計劃。如果不能夠重用執行計劃，那麼就有SQL注入的風險，因為SQL的語意有可能會變化，所表達的查詢就可能變化。在SQLServer中查詢執行計劃可以使用下面的腳本：DBCCFreeProccacheselecttotal_elapsed_time/execution_count平均時間,total_logical_reads/execution_count邏輯讀,usecounts重用次數,SUBSTRING(d.text,(statement_start_offset/2)+1,((CASEstatement_end_offsetWHEN-1THENDATALENGTH(text)ELSEstatement_end_offsetEND-statement_start_offset)/2)+1)語句執行fromsys.dm_exec_cached_plansacrossapplysys.dm_exec_query_plan(a.plan_handle)c,sys.dm_exec_query_statsbcrossapplysys.dm_exec_sql_text(b.sql_handle)d--wherea.plan_handle=b.plan_handleandtotal_logical_reads/execution_count>4000ORDERBYtotal_elapsed_time/execution_countDESC;

④ sql 查詢語句中如何過濾指定的字元

1、語句：SELECT * FROM dbo.Procts WHERE prod_name='king doll' AND prod_price>8。

--檢索dbo.Procts表中所有列，過濾條件為由供應商king doll製造價格大於8的所有商品。

注意：--後面的字元是這條語句的注釋，這條語句有兩個條件，分別用AND關鍵字聯接在一起，並且過濾結果必須滿足這兩個條件，如果只滿足其中一個該數據不會被檢索出來。

2、OR操作符（或）

語句：SELECT * FROM dbo.Procts WHERE prod_name='king doll' OR prod_price>8。

--檢索dbo.Procts表中所有列，過濾條件為由供應商king doll製造價格大於8的所有商品值。

注意：--這里要說明的是OR操作符與AND操作符的不同之處是只要滿足其中一個條件，數值就會被檢索出來，例如：由供應商king doll製造價格小於8商品或者由供應商king add製造價格大於8的商品只要其中一個條件符合，數據就被檢索出來。

3、IN操作符（指定條件范圍）

語句：SELECT * FROM dbo.Procts WHERE prod_name IN ('king doll' ,'Queen dool')。

--檢索dbo.Procts表中所有列，過濾條件為由供應商king doll和Queen dool製造的商品。

注意：它的功能其實和OR一樣，但是它的執行速度會更快並且簡潔，最大的優點是可以包含其他SELECT語句，能夠更動態地建立WHERE字句。

⑤ 用SQL語句過濾數據

整個結果集：

SELECT*FROM表
WHERE班級=@班級參數

把DropDownList里綁上班級，根據你下拉的結果，把班級傳給整個結果集，用於過濾

SELECTDISTINCT班級
FROM表

這樣可以取出不重復的班級記錄

最後把DropDownList取出的班級值@班級參數，傳給結果集，這樣結果集就可以根據你下拉框選的班級，動態過濾結果了。

⑥ sql語句查詢過濾重復數據

1、查找表中多餘的重復記錄，重復記錄是根據單個欄位（peopleId）來判斷

復制代碼代碼如下:

select * from people
where peopleId in (select peopleId from people group by peopleId having count

(peopleId) > 1)

2、刪除表中多餘的重復記錄，重復記錄是根據單個欄位（peopleId）來判斷，只留有rowid最小的記錄

復制代碼代碼如下:

delete from people
where peopleId in (select peopleId from people group by peopleId having count

(peopleId) > 1)
and rowid not in (select min(rowid) from people group by peopleId having count(peopleId
)>1)

⑦ sql注入 form過濾怎麼繞過

我常用的三種方法：
1，參數過濾，過濾掉 單引號，or，1=1 等類似這樣的 。
2，使用 參數化方法格式化 ，不使用拼接SQL 語句。
3，主要業務使用存儲過程，並在代碼里使用參數化來調用（存儲過程和方法2結合）

⑧ python 如何使用源生sql語句查詢有多個參數過濾的情況

用django的object就是為了快速開發。所以在設計之初就不允許復雜的查詢，復雜的業務邏輯。

如果你設計的復雜，直接用sql，再多復雜都可以支持。

@age這東西是存貯過程里用的吧。這里用不著。

在python里，直接通過格式化欄位串，組裝成SQL再通過MysqlDb的cursor傳遞過去，然後fetch就可以了。

你的前面那段代碼已經說的很明白了。你先看一看python的基本語法 。

⑨ 「如何使用」SQL過濾代碼

Public Function RepBadChar(strChar)
If strChar="" Then
RepBadChar=""
Else
RepBadChar=Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(strChar,"'",""),"?",""),"(","("),")",")"),"<",""),".","."),">","")," ","")
End if
End function

dim id
id =request.QueryString("id")
if len(RepBadChar(id))<>len(request.QueryString("id")) then
response.write"<script>alert(""id參數里含有非法字元"");location.href=""../index.asp"";</script>"
response.end
end if