当我们按照某个字段排序时,通常使用order by语句,如果该字段存在null值,则会把null值的这条放到最上面,
那我们是否有办法解决呢?
答案是肯定的:
ORDER BY CASE WHEN OrderNum IS NULL THEN 1 ELSE 0 END
这样的话,null值的这条就排队到了最后。
使用dapper查询数据时,有时候会用到模糊查询,像下面这样:
SELECT * FROM T_Test WHERE Sex='男' AND (CardNo like 'xxx' OR Remark like 'xxx')
如果dapper里这么写:
public List<TestModel> Test(string sex, string keyWords){ var sb = new StringBuilder("SELECT * FROM T_Test WHERE 1=1 "); sb.Append(" AND Sex=@Sex "); sb.Append(" AND(Content LIKE '%"+ keyWords +"%' OR Remark LIKE '%"+ keyWords +"%')"); return DapperHelper.Query<TestModel>(sb.ToString(), new { Sex = sex}).ToList(); }
如果keyWords的参数写:%' or 1=1) --
生成的sql语句就是:
SELECT * FROM T_Test WHERE 1=1 AND Sex='男' AND (Content LIKE '%%' or 1=1) --%' OR Remakr LIKE '%%')
那么恭喜你,他人将获取你所有的信息。
那我们该怎么处理呢?
那就是修改dapper方法
public List<TestModel> Test(string sex, string keyWords){
var sb = new StringBuilder("SELECT * FROM T_Test ");
sb.Append(" AND Sex=@Sex ");
sb.Append(" AND(Content LIKE @KeyWords OR Remark LIKE @KeyWords )");
return DapperHelper.Query<TestModel>(sb.ToString(), new { Sex = sex, KeyWords = '%' + keyWords + '%'}).ToList();
}
生成的sql语句就是
exec sp_executesql N'SELECT * FROM T_Test WHERE 1=1 Sex=@Sex AND (Content LIKE @KeyWords OR Remark LIKE @KeyWords)',N'@KeyWords nvarchar(4000)',@KeyWords=N'%%'' or 1=1) --%'
即使是这样,数据也不会泄露了。