qyjun

博客园 首页 新随笔 联系 订阅 管理
CREATE  PROCEDURE sp_Paging
@tblName varchar(255) , -- 表名
@strGetFields varchar(1000= '*'-- 需要返回的列 
@fldName varchar(255)=''-- 排序的字段名
@pageSize int = 10-- 页尺寸
@pageIndex int = 1-- 页码
@recordCount int = 0 output, -- 返回记录总数
@pageCount int = 0 output, --分页总数
@orderType int = 0-- 设置排序类型, 非 0 值则降序
@strWhere varchar(1500= '' -- 查询条件 (注意: 不要加 where)
AS
declare @strSQL nvarchar(3000-- 主语句
declare @strTmp varchar(110-- 临时变量
declare @strOrder varchar(400-- 排序类型

    
begin
        
if @strWhere !=''
            
set @strSQL = 'select @recordCount = count(*) from ' + @tblName + ' where '+@strWhere
        
else
            
set @strSQL = 'select @recordCount = count(*) from ' + @tblName
    
end 

    
exec sp_executesql @strSQL,N'@recordCount int out ',@recordCount out

    
if @recordCount % @pageSize = 0
        
set @pageCount = @recordCount / @pageSize
    
else
        
set @pageCount = @recordCount / @pageSize + 1
  
--以上代码的意思是计算出记录是总数和求出总共的页数

   
begin
      
if @orderType != 0
         
begin
            
set @strTmp = '<(select min'
            
set @strOrder = ' order by ' + @fldName +' desc'
         
--如果@orderType不是0,就执行降序,这句很重要!
         end
      
else
         
begin
            
set @strTmp = '>(select max'
            
set @strOrder = ' order by ' + @fldName +' asc'
         
end

     
if @pageIndex = 1
        
begin
           
if @strWhere != '' 

              
set @strSQL = 'select top ' + str(@pageSize+' '+@strGetFields+ ' from ' + @tblName + ' where ' + @strWhere + ' ' + @strOrder
           
else

              
set @strSQL = 'select top ' + str(@pageSize+' '+@strGetFields+ ' from '+ @tblName + ' '+ @strOrder
      
--如果是第一页就执行以上代码,这样会加快执行速度
        end
     
else
         
begin
           
if @strWhere != ''
                 
set @strSQL = 'select top ' + str(@pageSize+' '+@strGetFields+ ' from '
                        
+ @tblName + ' where ' + @fldName + '' + @strTmp + '('
                        
+ substring(@fldNamecharindex('.',@fldName)+1len(@fldName)) + ') from (select top ' + str((@pageIndex-1)*@pageSize+ ' '
                        
+ @fldName + ' from ' + @tblName + ' where ' + @strWhere + ' '
                        
+ @strOrder + ') as tblTmp) and ' + @strWhere + ' ' + @strOrder
       
else
         
set @strSQL = 'select top ' + str(@pageSize+' '+@strGetFields+ ' from '
                        
+ @tblName + ' where ' + @fldName + '' + @strTmp + '('
                        
+ substring(@fldNamecharindex('.',@fldName)+1len(@fldName)) + ') from (select top ' + str((@pageIndex-1)*@pageSize+ ' '
                        
+ @fldName + '  from ' + @tblName + '' + @strOrder + ') as tblTmp)'
                        
+ @strOrder
         
end
   
end
print @strSQL
exec sp_executesql @strSQL
GO

评论:
试了下,发现确实可以注入。

其实很多分页存储过程TSQL语句都是这样写的,基本都有注入问题。
declare @sqlstr
set @sqlstr = '...'
exec(@sqlstr )
/*
先 生成一个大的sql语句串,再调用执行;如果查询条件中传入逗号,逗号全部变成执行语句的一部分了,注入漏洞就出现了。
即使在asp.net中,通过sqlparam那种形式构建参数,还是免不了sql注入
*/
或者
exec sp_executesql(@sqlstr)


防止注入:

1.
如果不是构造成大的sql语句串来执行,就不会有注入问题。
例如:
select * from admin where username=@username and password=@password

2.参数传入之前先过滤
//过滤提交的非法字符串(防止sql注入)
public static string GetSafeStr(string str)
{
return str.Replace("'", "").Replace("\"", "").Replace(":", "");
}
posted on 2007-05-08 07:51  qyjun  阅读(283)  评论(0编辑  收藏  举报