开发者社区 > 大数据与机器学习 > 大数据开发治理DataWorks > 正文

数据服务api开发 自动识别请求参数bug ,element 不应该被识别出来 , 也不能被删除

```SELECT * FROM linkis_ps_job_history_group_history

id = ${id}
and submit_user = ${umUser}
and engine_type = ${engineType}
and created_time >= ${startDate} AND created_time <![CDATA[<=]]>${endDate}
and
${element}

ORDER BY linkis_ps_job_history_group_history.created_time DESC

```

展开
收起
游客7h24puibbdf7y 2024-05-10 11:17:51 45 0
1 条回答
写回答
取消 提交回答
  • 在你提供的SQL查询中,${element}似乎是一个可变的占位符,用于动态地添加条件。如果你不希望element被自动识别为请求参数,同时又不能直接删除,你需要确保在处理这个查询时,对element进行适当的处理。以下是一些可能的解决方案:

    1. 条件分支: 在你的API代码中,可以先检查element变量是否为空或者是否需要包含在查询中。如果element是空的或者不需要,你可以直接忽略它,或者用一个不会影响查询的无操作(如1 = 1)替换它。
    python
       element_condition = "${element}" if your_element_variable else "1 = 1"
    
       sql_query = f"SELECT * FROM linkis_ps_job_history_group_history \
                   WHERE id = {id} \
                   AND submit_user = {umUser} \
                   AND engine_type = {engineType} \
                   AND created_time >= {startDate} \
                   AND created_time <![CDATA[<=]]> {endDate} \
                   AND {element_condition} \
                   ORDER BY linkis_ps_job_history_group_history.created_time DESC"
    
    1. 模板字符串: 如果你使用的是Python,可以利用f-string或者str.format()来构造SQL查询,确保element只在有值时添加。
    python
       query_template = """
       SELECT * FROM linkis_ps_job_history_group_history
       WHERE id = {}
       AND submit_user = {}
       AND engine_type = {}
       AND created_time >= {} AND created_time <![CDATA[<=]]> {}
       AND {}
       ORDER BY linkis_ps_job_history_group_history.created_time DESC
       """
    
       params = [id, umUser, engineType, startDate, endDate, your_element_variable or "1 = 1"]
       sql_query = query_template.format(*params)
    
    1. 动态SQL构造: 根据element是否存在,动态构建SQL查询字符串。这样,当element为空或不需要时,就不会出现在SQL中。
    python
       conditions = ["id = %s", "submit_user = %s", "engine_type = %s",
                     "created_time >= %s AND created_time <![CDATA[<=]]> %s"]
    
       query_params = [id, umUser, engineType, startDate, endDate]
    
       if your_element_variable:
           conditions.append(your_element_variable)
           query_params.append(your_element_variable)
    
       sql_query = "SELECT * FROM linkis_ps_job_history_group_history WHERE " + " AND ".join(conditions) + " ORDER BY linkis_ps_job_history_group_history.created_time DESC"
    

    确保在实际应用中,你遵循SQL注入防护的最佳实践,比如使用参数化查询,防止恶意输入破坏你的数据库。

    2024-05-10 17:38:57
    赞同 1 展开评论 打赏

DataWorks基于MaxCompute/Hologres/EMR/CDP等大数据引擎,为数据仓库/数据湖/湖仓一体等解决方案提供统一的全链路大数据开发治理平台。

热门讨论

热门文章

相关电子书

更多
Spring Boot2.0实战Redis分布式缓存 立即下载
CUDA MATH API 立即下载
API PLAYBOOK 立即下载