在SQLMAP中使用动态SQL

最近有几个同事和朋友询问如何在SQLMAP中“拼接字符串”，因为有时候条件的数量不固定，条件参数类型也不固定，无法写出 @参数名 这样的SQL语句，也就是大家常说的“动态SQL”问题。PDF.NET数据开发框架在1.0版本就支持这个功能了，而且在SQLMAP说明里面也写了，但就是没有人看

 

这里举一个实际的例子说明如何使用动态SQL。

1，设有下面的一个SQLMAP脚本：

 

< Select  CommandName ="GetRemindsBywhere"  CommandType ="Text"  Method =""  Description ="查询提醒记录根据条件"  ResultClass ="DataSet" > <![CDATA[ select a.guid,a.remindttile,a.remindcontent,a.reminddate,
case when a.isread = 0 then '未处理' else '已处理' end isread,b.customername,c.modelname,b.guid userid
from WFT_RemindRecord a  
left join WFT_Customer b on a.customerid = b.guid 
left join Tb_Common_ModelInfo c on a.remindtypeid = c.modelid
where 1=1  and   #%tiaojian%#  ]]> </ Select >
     </ CommandClass >

 

 

使用“替换参数”，仅需要在参数名外面包一个 #%..%# 即可，不需要指定参数的类型，因为“替换”本身就是针对字符串的替换，例如下面的方式是不正确的：
where 1=1  and   #%tiaojian:String%#

只需要这样：
where 1=1  and   #%tiaojian%#

2，SQLMAP DAL代码：
使用代码生成工具，上面的SQLMAP脚本将生成下面的DAL代码：

  ///   <summary>
     ///  查询提醒记录根据条件
     ///   </summary>
     ///   <returns></returns>
     public  DataSet GetRemindsBywhere( string  tiaojian  ) 
    { 
             // 获取命令信息
            CommandInfo cmdInfo = Mapper.GetCommandInfo( " GetRemindsBywhere " );
             // 执行参数替换
            cmdInfo.SetParameterValue( " tiaojian " , tiaojian, enumParamType.ReplacedText);
             // 执行查询
             return  CurrentDataBase.ExecuteDataSet(CurrentDataBase.ConnectionString, cmdInfo.CommandType, cmdInfo.CommandText , null );
         //
    } // End Function

 

 

从代码可以看出，SQLMAP脚本在红的参数名“tiaojian” 映射成了方法的参数 String tiaojian，而设置参数的方式变成了下面的方式：
cmdInfo.SetParameterValue("tiaojian", tiaojian, enumParamType.ReplacedText);

关键之处就是多了一个重载参数：enumParamType.ReplacedText


使用“替换参数”，在参数数量和参数类型不固定的情况下可以非常灵活的使用，反之则不推荐，尽量使用明确类型的参数，避免带来“SQL注入”的安全隐患。