递归火山软件开发平台

标题: 正则表达式匹配和寻找文本的速度 [打印本页]

作者: Fang0x378 时间: 2022-4-23 14:42
标题: 正则表达式匹配和寻找文本的速度
SQL 语句为了防止注入,需要对传回来的数据进行处理.
我用了文本分割,然后寻找文本等命令去判断的,请问这样是不是效率不高啊?
这样和正则表达式匹配哪一个效率高一点?

(, 下载次数: 32)

作者: 小蜗牛 时间: 2022-4-23 16:12
防止SQL注入..不是这样弄的...
把 ' 转义一下就可以了

作者: Fang0x378 时间: 2022-4-23 16:39

小蜗牛发表于 2022-4-23 16:12
防止SQL注入..不是这样弄的...
把 ' 转义一下就可以了

客户端拼装了部分sql语句,然后服务器去执行. 部分语句在拼装的时候就加上了' .防注入处理' 就行了?这么简单吗?

作者: Fang0x378 时间: 2022-4-23 17:27
本帖最后由 Fang0x378 于 2022-4-23 17:30 编辑

测试了一下,循环1000次,一个用子文本替换和文本查找,一个用正则,还是文本操作快一点,正则匹配要慢一点.循环100次看不出来明显差别.

作者: 小蜗牛 时间: 2022-4-23 17:48

Fang0x378 发表于 2022-4-23 16:39
客户端拼装了部分sql语句,然后服务器去执行. 部分语句在拼装的时候就加上了' .防注入处理' 就行了?这么简 ...

sql永远不要让客户端拼接...

作者: Fang0x378 时间: 2022-4-23 17:53

小蜗牛发表于 2022-4-23 17:48
sql永远不要让客户端拼接...

没办法,C/S结构, 把所有数据分开传递回去的话,功能多了之后,工作量太大了.我是写了一个中间件,发给服务器去提交.
客户端不是完全拼接成sql,是拼接部分. 比如 cha询条件就拼一个字段1='aaa',ID=100 ,到服务器之后再二次分割,拼接. 在服务器二次过滤非法字符

欢迎光临递归火山软件开发平台 (https://bbs.voldp.com/)