Предотвращение Внедрения SQL в SQL-запросе с Подобным Оператором с помощью параметров?
Вы сравниваете < = и> = со строковыми значениями, что неверно. Вы должны привести их к временным меткам, прежде чем делать такие сравнения. Приведенный ниже код работал для меня.
Кстати, условие фильтра, которое вы использовали, не дает результатов, которые вы разместили в вопросе. Пожалуйста, проверьте это снова.
scala> val df= Seq(("Alex","2018-03-01 00:00:00"),("Alex","2018-09-01 00:00:00"),("Bob","2018-03-01 00:00:00"),("Mark","2018-02-01 00:00:00"),("Mark","2018-07-01 00:00:00"),("Kate","2018-02-01 00:00:00")).toDF("USER_NAME","REQUEST_DATE").withColumn("REQUEST_DATE",to_timestamp('REQUEST_DATE))
df: org.apache.spark.sql.DataFrame = [USER_NAME: string, REQUEST_DATE: timestamp]
scala> df.printSchema
root
|-- USER_NAME: string (nullable = true)
|-- REQUEST_DATE: timestamp (nullable = true)
scala> df.show(false)
+---------+-------------------+
|USER_NAME|REQUEST_DATE |
+---------+-------------------+
|Alex |2018-03-01 00:00:00|
|Alex |2018-09-01 00:00:00|
|Bob |2018-03-01 00:00:00|
|Mark |2018-02-01 00:00:00|
|Mark |2018-07-01 00:00:00|
|Kate |2018-02-01 00:00:00|
+---------+-------------------+
scala> val df2 = Seq(( "Alex","2018-01-01 00:00:00","2018-06-01 00:00:00","Active"),("Bob","2018-01-01 00:00:00","2018-02-01 00:00:00","Not Active"),("Mark","2018-01-01 00:00:00","2018-05-01 23:59:59","Active"),("Mark","2018-05-01 00:00:00","2018-08-01 23:59:59","VIP")).toDF("USER_NAME","START_SERVICE","END_SERVICE","STATUS").withColumn("START_SERVICE",to_timestamp('START_SERVICE)).withColumn("END_SERVICE",to_timestamp('END_SERVICE))
df2: org.apache.spark.sql.DataFrame = [USER_NAME: string, START_SERVICE: timestamp ... 2 more fields]
scala> df2.printSchema
root
|-- USER_NAME: string (nullable = true)
|-- START_SERVICE: timestamp (nullable = true)
|-- END_SERVICE: timestamp (nullable = true)
|-- STATUS: string (nullable = true)
scala> df2.show(false)
+---------+-------------------+-------------------+----------+
|USER_NAME|START_SERVICE |END_SERVICE |STATUS |
+---------+-------------------+-------------------+----------+
|Alex |2018-01-01 00:00:00|2018-06-01 00:00:00|Active |
|Bob |2018-01-01 00:00:00|2018-02-01 00:00:00|Not Active|
|Mark |2018-01-01 00:00:00|2018-05-01 23:59:59|Active |
|Mark |2018-05-01 00:00:00|2018-08-01 23:59:59|VIP |
+---------+-------------------+-------------------+----------+
scala> df.join(df2,Seq("USER_NAME"),"leftOuter").filter(" REQUEST_DATE >= START_SERVICE and REQUEST_DATE <= END_SERVICE").select(df("*"),df2("status")).show(false)
+---------+-------------------+------+
|USER_NAME|REQUEST_DATE |status|
+---------+-------------------+------+
|Alex |2018-03-01 00:00:00|Active|
|Mark |2018-02-01 00:00:00|Active|
|Mark |2018-07-01 00:00:00|VIP |
+---------+-------------------+------+
scala>
3 ответа
попробуйте это:
var query = "select * from foo where name like @searchterm";
using (var command = new SqlCommand(query, connection))
{
command.Parameters.AddWithValue("@searchterm", String.Format("%{0}%", searchTerm));
var result = command.ExecuteReader();
}
платформа будет автоматически заниматься проблемами заключения в кавычки.
Просто параметризуйте свой запрос:
SELECT * FROM suppliers WHERE supplier_name like '%' + @name + '%'
Теперь можно передать переменную "имени" в @name параметр, и запрос выполнится без любой опасности инжекционных нападений. Даже если Вы передадите в чем-то как "'' ИЛИ верный - то" это будет все еще хорошо работать.
Короткий Anwser:
1) имя. Замена ("'", "''").... Замените любые символы ESC, которые Ваша база данных может иметь (одинарные кавычки, являющиеся наиболее распространенным)
2) если Вы используете язык как Параметризированные запросы использования .NET
sql="Insert into Employees (Firstname, Lastname, City, State, Zip, Phone, Email) Values ('" & frmFirstname.text & "', '" & frmLastName & "', '" & frmCity & "', '" & frmState & "', '" & frmZip & "', '" & frmPhone & "', '" & frmEmail & "')"
Вышеупомянутое заменяется ниже
Dim MySQL as string = "Insert into NewEmp (fname, LName, Address, City, State, Postalcode, Phone, Email) Values (@Firstname, @LastName, @Address, @City, @State, @Postalcode, @Phone, @Email)"
With cmd.Parameters:
.Add(New SQLParameter("@Firstname", frmFname.text))
.Add(New SQLParameter("@LastName", frmLname.text))
.Add(New SQLParameter("@Address", frmAddress.text))
.Add(New SQLParameter("@City", frmCity.text))
.Add(New SQLParameter("@state", frmState.text))
.Add(New SQLParameter("@Postalcode", frmPostalCode.Text))
.Add(New SQLParameter("@Phone", frmPhone.text))
.Add(New SQLParameter("@email", frmemail.text))
end with
3) пользователь Сохраненный procs
4) используйте Linq для SQL, снова при использовании .NET