原文: 防SQL注入：生成參數化的通用分頁查詢語句

????? 前些時間看了玉開兄的“ 如此高效通用的分頁存儲過程是帶有sql注入漏洞的 ”這篇文章，才突然想起某個項目也是使用了累似的通用分頁存儲過程。使用這種通用的存儲過程進行分頁查詢，想要防SQL注入，只能對輸入的參數進行過濾，例如將一個單引號“'”轉換成兩個單引號“''”，但這種做法是不安全的，厲害的黑客可以通過編碼的方式繞過單引號的過濾，要想有效防SQL注入，只有參數化查詢才是最終的解決方案。但問題就出在這種通用分頁存儲過程是在存儲過程內部進行SQL語句拼接，根本無法修改為參數化的查詢語句，因此這種通用分頁存儲過程是不可取的。但是如果不用通用的分頁存儲過程，則意味著必須為每個具體的分頁查詢寫一個分頁存儲過程，這會增加不少的工作量。

????? 經過幾天的時間考慮之后，想到了一個用代碼來生成參數化的通用分頁查詢語句的解決方案。代碼如下：

?

使用方法：

?

PagerQuery query = new PagerQuery();
query.PageIndex = 1;
??? query.PageSize = 20;
??? query.PK = "ID";
??? query.SelectClause = "*";
??? query.FromClause = "TestTable";
??? query.SortClause = "ID DESC";

??? if (!string.IsNullOrEmpty(code))
??? {
??? ?query.WhereClause.Append(" and ID= @ID");
??? }

a)?GenerateCountSql ()方法生成的語句為：
Select count(0) from TestTable Where 1=1 and ID= @ID

b)?GenerateSql()方法生成的語句為：
WITH t AS (SELECT ROW_NUMBER() OVER(ORDER BY ECID DESC) as row_number, * from TestTable where 1=1 and ID= @ID) Select * from t where row_number BETWEEN 1 and 20

c)?GenerateSqlIncludetTotalRecords()方法生成的語句為：
WITH t AS (SELECT ROW_NUMBER() OVER(ORDER BY E.ECID DESC) as row_number,* from TestTable where 1=1 and ID= @ID) Select * from t where row_number BETWEEN 1 and 20;Select count(0) from ECBasicInfo where 1=1 and ID= @ID;

注意：以上代碼生成的SQL語句是曾對SQL SERVER 2005以上版本的，希望這些代碼對大家有用

防SQL注入：生成參數化的通用分頁查詢語句