SQL處理日期

在資料庫操作中，處理日期是一個關鍵的方面。確保插入的日期格式與資料庫中日期列的格式匹配至關重要。以下是一些常見的SQL日期數據類型和處理方法。

SQL日期數據類型

MySQL日期數據類型

• DATE - 格式為YYYY-MM-DD
• DATETIME - 格式為YYYY-MM-DD HH:MI:SS
• TIMESTAMP - 格式為YYYY-MM-DD HH:MI:SS
• YEAR - 格式為YYYY或YY

SQL Server日期數據類型

• DATE - 格式為YYYY-MM-DD
• DATETIME - 格式為YYYY-MM-DD HH:MI:SS
• SMALLDATETIME - 格式為YYYY-MM-DD HH:MI:SS
• TIMESTAMP - 格式為一個唯一的數字

註意： 在創建新表時，請為列選擇適當的日期類型。

SQL處理日期示例

考慮以下訂單表：

選擇日期為"2008-11-11"的記錄（沒有時間部分）

SELECT * FROM Orders WHERE OrderDate='2008-11-11'

結果：

註意： 如果沒有涉及時間組件，可以輕鬆比較兩個日期。

考慮帶有時間部分的訂單表

選擇日期為"2008-11-11"的記錄（考慮時間部分）

SELECT * FROM Orders WHERE OrderDate='2008-11-11'

結果：零結果！這是因為查詢僅尋找沒有時間部分的日期。 若要考慮時間部分，需要使用其他條件或函數。

SQL視圖

在SQL中，視圖是基於SQL語句的結果集的虛擬表。視圖類似於真實表，包含行和列，但其數據實際上來自一個或多個真實表。

創建視圖

使用CREATE VIEW語句創建視圖。以下是基本的CREATE VIEW語法：

CREATE VIEW view_name AS
SELECT column1, column2, ...
FROM table_name
WHERE condition;

註意： 視圖會始終顯示最新數據，每當用戶查詢它時，資料庫引擎都會重新創建視圖。

示例 1: 創建顯示巴西客戶的視圖

CREATE VIEW [Brazil Customers] AS
SELECT CustomerName, ContactName
FROM Customers
WHERE Country = 'Brazil';

查詢視圖：

SELECT * FROM [Brazil Customers];

示例 2: 創建高於平均價格的產品視圖

CREATE VIEW [Products Above Average Price] AS
SELECT ProductName, Price
FROM Products
WHERE Price > (SELECT AVG(Price) FROM Products);

查詢視圖：

SELECT * FROM [Products Above Average Price];

更新視圖

使用CREATE OR REPLACE VIEW語句可以更新視圖。

CREATE OR REPLACE VIEW view_name AS
SELECT column1, column2, ...
FROM table_name
WHERE condition;

示例: 向"巴西客戶"視圖添加"City"列

CREATE OR REPLACE VIEW [Brazil Customers] AS
SELECT CustomerName, ContactName, City
FROM Customers
WHERE Country = 'Brazil';

刪除視圖

使用DROP VIEW語句刪除視圖。

DROP VIEW view_name;

示例: 刪除"巴西客戶"視圖

DROP VIEW [Brazil Customers];

SQL註入

SQL註入是一種惡意的代碼註入技術，可能會破壞資料庫的安全性。它是網路黑客經常使用的一種攻擊方式。SQL註入發生在Web頁面接受用戶輸入，並將該輸入插入到SQL語句中的情況下，而用戶提供的輸入不是正常的數據，而是惡意構造的SQL語句。

基本概念

示例 1: 基於1=1的SQL註入

考慮以下代碼：

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

如果用戶輸入的txtUserId是 105 OR 1=1，則構建的SQL語句為：

SELECT * FROM Users WHERE UserId = 105 OR 1=1;

這將返回Users表中的所有行，因為 OR 1=1 始終為真。這種註入可能導致訪問敏感信息。

示例 2: 基於""=""的SQL註入

考慮用戶登錄的情況：

uName = getRequestString("username");
uPass = getRequestString("userpassword");

sql = 'SELECT * FROM Users WHERE Name ="' + uName + '" AND Pass ="' + uPass + '"'

如果用戶輸入的uName和uPass是 " or ""="，則構建的SQL語句為：

SELECT * FROM Users WHERE Name ="" or ""="" AND Pass ="" or ""=""

這將返回Users表中的所有行，繞過了登錄驗證。

示例 3: 基於批處理SQL語句的SQL註入

某些資料庫支持批處理SQL語句，允許一次執行多個SQL語句。黑客可以嘗試通過輸入惡意批處理語句來執行危險的操作。

SELECT * FROM Users; DROP TABLE Suppliers

這將返回Users表中的所有行，並刪除Suppliers表。

防範SQL註入

使用SQL參數

為了防止SQL註入，可以使用SQL參數。SQL參數是在執行時以受控的方式添加到SQL查詢中的值。

ASP.NET Razor示例

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = @0";
db.Execute(txtSQL, txtUserId);

在上述示例中，參數在SQL語句中用 @ 標記表示。

示例: 使用參數的其他語言示例

ASP.NET中的SELECT語句

txtUserId = getRequestString("UserId");
sql = "SELECT * FROM Customers WHERE CustomerId = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0", txtUserId);
command.ExecuteReader();

ASP.NET中的INSERT INTO語句

txtNam = getRequestString("CustomerName");
txtAdd = getRequestString("Address");
txtCit = getRequestString("City");
txtSQL = "INSERT INTO Customers (CustomerName,Address,City) Values(@0,@1,@2)";
command = new SqlCommand(txtSQL);
command.Parameters.AddWithValue("@0", txtNam);
command.Parameters.AddWithValue("@1", txtAdd);
command.Parameters.AddWithValue("@2", txtCit);
command.ExecuteNonQuery();

PHP中的INSERT INTO語句

$stmt = $dbh->prepare("INSERT INTO Customers (CustomerName,Address,City)
VALUES (:nam, :add, :cit)");
$stmt->bindParam(':nam', $txtNam);
$stmt->bindParam(':add', $txtAdd);
$stmt->bindParam(':cit', $txtCit);
$stmt->execute();

使用參數化查詢可以有效防止SQL註入攻擊，因為參數將在執行時以安全的方式插入到SQL查詢中。

最後

為了方便其他設備和平臺的小伙伴觀看往期文章：

微信公眾號搜索：Let us Coding，關註後即可獲取最新文章推送

看完如果覺得有幫助，歡迎 點贊、收藏、關註