正则表达式匹配和寻找文本的速度
SQL 语句为了防止注入,需要对传回来的数据进行处理.我用了文本分割,然后寻找文本等命令去判断的,请问这样是不是效率不高啊?
这样和正则表达式匹配哪一个效率高一点?
防止SQL注入..不是这样弄的...
把 '转义一下就可以了 小蜗牛 发表于 2022-4-23 16:12
防止SQL注入..不是这样弄的...
把 '转义一下就可以了
客户端拼装了部分sql语句,然后服务器去执行.部分语句在拼装的时候就加上了' .防注入处理' 就行了?这么简单吗?
本帖最后由 Fang0x378 于 2022-4-23 17:30 编辑
测试了一下,循环1000次,一个用子文本替换和文本查找,一个用正则,还是文本操作快一点,正则匹配要慢一点.循环100次看不出来明显差别.
Fang0x378 发表于 2022-4-23 16:39
客户端拼装了部分sql语句,然后服务器去执行.部分语句在拼装的时候就加上了' .防注入处理' 就行了?这么简 ...
sql永远不要让客户端拼接... 小蜗牛 发表于 2022-4-23 17:48
sql永远不要让客户端拼接...
没办法,C/S结构, 把所有数据分开传递回去的话,功能多了之后,工作量太大了.我是写了一个中间件,发给服务器去提交.
客户端不是完全拼接成sql,是拼接部分. 比如 cha询条件就拼一个 字段1='aaa',ID=100 ,到服务器之后再二次分割,拼接. 在服务器二次过滤非法字符
页:
[1]