Perl操作数据库对SQL语句的过滤问题-flymarshal-ChinaUnix博客

Chinaunix首页 | 论坛 | 博客

楚风marshal.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

博客访问： 34361
博文数量： 9
博客积分： 156
博客等级：入伍新兵
技术积分： 60
用户组：普通用户
注册时间： 2010-08-22 16:36

文章分类

全部博文（9）

技术文录（4）
未分配的博文（5）

文章存档

2014年（1）

2012年（3）

2011年（5）

我的朋友

最近访客

推荐博文

Perl操作数据库对SQL语句的过滤问题

分类：

2012-01-19 00:11:36

原文地址：Perl操作数据库对SQL语句的过滤问题作者：x9x9

使用DBI操作数据库很便捷。一般简单的操作我们可以写成：

use strict;
use warnings;
use DBI;
my @arr=qw('xx' 'yy' 'zz');
my $dbh=DBI->connect(...) or die 'unable to connect to database!';
for my $field (@arr) {
my $sql=qq{select from sometable where field=$field};
my $sth=$dbh->prepare($sql);
sth->execute();
}
$sth->execute();

但这里有时会遇到的一个问题就是Perl会解析SQL语句里标量的字符串，比如上面的标量$field，这样就会造成程序错误或是中断退出。

因为这里用的是 qq，相当于双引号，是允许它里面的内容进行转义的，所以会出现这样的问题。但如果用单引号的话，$field就不会被正常解析。

看了《Perl高效编程》第12章的106条，使用占位符的方法解决了这个问题，上面的代码可以写成：

use strict;
use warnings;
use DBI;
my @arr=qw('xx' 'yy' 'zz');
my $dbh=DBI->connect(...) or die 'unable to connect to database!';
my $sth=$dbh->prepare('select from sometable where field=?');
for my $field (@arr) {
$sth->execute($field);
}
$sth->execute();

这样不但解决了Perl代码对SQL语句的过滤的问题，同时代码也更工整，优化了查询。

阅读(1201) | 评论(0) | 转发(0) |

0

上一篇：人生中的几个三

下一篇：第一章简介网站自动处理

给主人留下些什么吧！~~

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们