2. 程式人生 > >Oracle execute immediate 拼接條件 引數化

Oracle execute immediate 拼接條件 引數化

阿新 發佈:2019-01-26

最近在將專案的資料庫改成Oracle,本人對Oracle也是一無所知,邊做邊摸索。

在使用 execute immediate 動態執行SQL分頁,發現網上很多例子都是通過引數值直接拼接成SQL來執行。

對於Oracle新手來說,好像Oracle沒有類似 SQLServer exec sp_executesql 引數化查詢這樣的功能。

例如:

declare
  p_accountnum  varchar2(100);
  p_groupid     integer;
  p_recordcount integer;
  p_select      varchar2(500);
begin
  p_accountnum := 'gh_xxxxxxxxx';
  p_groupid    := 109;
  p_select     := 'select count(*) from wxuser where 1=1 and accountnum =''' ||  p_accountnum || ''' and groupid =' || p_groupid;
  execute immediate p_select into p_recordcount;
  dbms_output.put_line(p_recordcount);
end;

這樣很明顯的一樣問題,如果引數p_accountnum存在SQL特殊字元,就會出現SQL注入了。當然你也可以在專案程式中對SQL特殊字元進行過濾。

但有時候在寫程式中,可能因各種不小心會忘記對SQL特殊字元過濾,所以最可靠的辦法就是直接將值引數化,不通過引數值直接拼接成SQL來執行。

這是我寫的一個儲存過程,希望可以幫到一些Oracle新手。

procedure SelectByWhere(p_accountnum  in varchar2,
                          p_groupid     in integer,
                          p_pageindex   in integer,
                          p_pagesize    in integer,
                          p_recordcount out integer,
                          v_result      out pack_wxuser.cur_type) is
    v_select varchar2(500);
    v_where  varchar2(500);
  begin
    v_where := ' where 1=1';
    if p_accountnum is not null and length(p_accountnum) > 0 then
      begin
        v_where := v_where || ' and accountnum = :a';
      end;
    else
      begin
        v_where := v_where || ' and ((1=1) or :a is null)';
      end;
    end if;
    if p_groupid is not null and p_groupid > 0 then
      begin
        v_where := v_where || ' and groupid = :b ';
      end;
    else
      begin
        v_where := v_where || ' and ((1=1) or :b is null)';
      end;
    end if;
    v_select := 'select count(*) from wxuser' || v_where;
    dbms_output.put_line(v_select);
    execute immediate v_select
      into p_recordcount
      using p_accountnum, p_groupid;
    v_where := v_where || ' order by subscribe_time desc';
    if p_pageindex is not null and p_pageindex > 0 and
       p_pagesize is not null and p_pagesize > 0 then
      begin
        v_select := 'select t.* ,g.groupname groupname from (select w.*, rownum as rowno from (select * from wxuser' ||
                    v_where || ') w where rownum <=' ||
                    (p_pageindex * p_pagesize) ||
                    ') t left join wxgroup g on t.groupid=g.groupid where t.rowno >=' ||
                    ((p_pageindex - 1) * p_pagesize);
      end;
    else
      begin
        v_select := 'select t.*,g.groupname groupname from ( select * from wxuser' ||
                    v_where ||
                    ' ) t left join wxgroup g on t.groupid=g.groupid';
      end;
    end if;
    dbms_output.put_line(v_select);
    open v_result for v_select
      using p_accountnum, p_groupid;
  end;


相關推薦

Oracle execute immediate 拼接條件 引數

最近在將專案的資料庫改成Oracle,本人對Oracle也是一無所知,邊做邊摸索。 在使用 execute immediate 動態執行SQL分頁,發現網上很多例子都是通過引數值直接拼接成SQL來執行。 對於Oracle新手來說,好像Oracle沒有類似 SQLServer

mybatis調取oracle execute immediate動態拼接儲存過程返回結果

create or replace procedure test_len (filed varchar2,res out varchar2) is /** **描述 **/ begin if(length(filed)>10) then res:='error'; dbms_

Oracle中動態SQL詳解(EXECUTE IMMEDIATE)

Oracle中動態SQL詳解(EXECUTE IMMEDIATE) 2017年05月02日 18:35:48 悠悠傾我心 閱讀數:744 標籤: oracle動態sqloracle 更多

EXECUTE IMMEDIATE _ Oracle example

set serveroutput on; DECLARE    v_table_name varchar(100):='abc';    sql_stmt varchar(255):='default';    cnt NUMBER:=0;    cursor tbl is

JQ get請求 拼接 url 引數 (查詢條件)

//查詢拼接引數 function query_sample_order(){ var i_url=""; var condition= $('#query_sample_order_condition').val();//具體查詢條件 var begin_time=$

Jmeter於Oracle資料庫之引數

Jmeter操作Oracle資料庫的基礎操作參考Jmeter與Oracle 本節將為操作資料庫時做引數化做介紹 1、準備引數檔案 新建txt,填寫引數,如下圖:每行可填寫多列,之間用英文逗號分割,儲存為UTF-8格式 2、Jmeter執行緒組中新增-配置元件-CSV Da

oracle儲存過程中使用execute immediate執行sql報ora-01031許可權不足的問題

--問題描述: 使用者在儲存過程中呼叫execute immediate 執行 create table語句報錯 ORA-01031, 並且反映直接執行該語句無報錯。--原因根據問題可以發現使用者確實有create table的許可權,查詢dba_role_privs 和 d

Oracle動態執行語句(Execute Immediate

一。為什麼要使用動態執行語句?        由於在PL/SQL 塊或者儲存過程中只支援DML語句及控制流語句,並不支援DDL語句,所以Oracle動態執行語句便應允而生了。關於DDL與DML的區別,請參見:DDL語句與DML語句及DCL和TCL。 二。動態執行語句怎麼用?           動態執行語句

oracle中的execute immediate

在pl sql開發中,像select,update,insert語句都是可以直接執行的。同時你還可以用execute immediate這樣的語句來執行。究竟execute immediate有什麼優勢呢?

Oracle引數SQL 語句 寫法

OleDbParameter [] opGroup={new OleDbParameter(":sELEMENT_VALUE",OleDbType.VarChar),new OleDbParameter(":sFACTORY_ID",OleDbType.Integer),

oracle 動態sql執行-EXECUTE IMMEDIATE

-- 使用技巧 1. EXECUTE IMMEDIATE將不會提交一個DML事務執行,應該顯式提交 如果通過EXECUTE IMMEDIATE處理DML命令, 那麼在完成以前需要顯式提交或者作為EXECUTE IMMEDIATE自己的一部分. 如果通過EXECUTE IM

oracleexecute immediate 是什麼意思?

最近在改寫儲存過程的時候,遇見了oracle中的 execute immediate ,對於這個沒了解過,找了好多,也沒有真正理解這個東西有什麼作用,最後在網上看見一位高手的解釋,通俗易懂。 對execute immediate  的解釋如下: 簡單來說 就是你一個儲存過

oracle shutdown immediate 一直沒反應解決方案

連接數據庫 oracle 解決方案 資料 normal oracle shutdown immediate 一直沒反應解決方案 數據庫監聽突然出現了問題,重新配置之後,重啟數據庫。發現不管是用shutdown 還是跟上參數 immediate都是同樣效果,等了10多分鐘

MT【135】條件線性

mat rac bubuko clas image 要求 簡單 評論 mage 已知\(x,y>0,\dfrac{1}{x}+\dfrac{2}{y}=1\),求\(\dfrac{1}{x+1}+\dfrac{2}{y+1}\)的最大值_____ 解答:令\(a=\

Jmeter引數的兩種方法

有兩種方式可以進行引數化 一、通過使用者引數的方法 1、右鍵前置處理器–》使用者引數 2、在使用者引數介面新增變數 3、在HTTP請求頁面新增引數 這樣引數就新增成功了!! 二、通過CSV Data Set Config配置 當然得提前準備你的

Jmeter的好搭檔Badboy錄製引數

首先在http://www.badboy.com.au/ 下載安裝badboy 1、錄製完指令碼之後,右鍵Add,新增變數 2、新增變數名,變數的value list 3、找到需要引數化的文字,點選右鍵–》properties 4、改變數值為第1步設定的

Jmeter中的多種引數方法

一、前置處理器-使用者引數 1.新增前置處理器-使用者引數,新增所需要的名稱以及使用者內容 2.將引數同步到請求中需要的引數值中(eg:${searchtxt}) 3.新增相應斷言及斷言結果 斷言結果 ps:注意執行緒的數量需是使用者的倍數方可

java8新特性---函式引數(::)

將函式作為引數化,並進行傳遞 1、定義函式介面 @FunctionalInterface public interface ConvertPredict<T,V> { /** * 轉換函式 * @param t * @param v

pytest引數

pytest有三種傳參方式,我主要用到前兩種 pytest的引數化方式 pytest.fixture()方式進行引數化,fixture裝飾的函式可以作為引數傳入其他函式 pytest.mark.parametrize()方式進行引數化 conftest.py 檔案

unittest引數

我們在寫case的時候,如果用例的操作是一樣的,就是引數不同,比如說要測一個登陸的介面,要測正常登陸的、黑名單使用者登陸的、賬號密碼錯誤的等等,在unittest裡面就要寫多個case來測試。 這樣的情況只是呼叫介面的時候引數不一樣而已,再寫多個case的話就有點多餘了,那怎麼辦呢,就得把這些引數都寫到一個