我们创建了用于查询Oracle DB的Web API,以下面的格式返回JSON中的结果。所以API将获取输入参数数组
目前我使用以下网址查询数据库
https://bhbl.abc.org/api/Sample?id='BL001'&id='TM002'
因此内部查询将转换为
SELECT *
FROM STCD_PRIO_CATEGORY
WHERE STPR_STUDY.STD_REF IN ("BL001,TM002")
以下是我们正在使用的代码
public class SampleController : ApiController
{
public HttpResponseMessage Getdetails([FromUri] string[] id)
{
using (OracleConnection dbconn = new OracleConnection("DATA SOURCE=J;PASSWORD=C;PERSIST SECURITY INFO=True;USER ID=T"))
{
var inconditions = id.Distinct().ToArray();
var srtcon = string.Join(",", inconditions);
DataSet userDataset = new DataSet();
var strQuery = @"SELECT * from STCD_PRIO_CATEGORY where STPR_STUDY.STD_REF IN(" + srtcon + ")";
OracleCommand selectCommand = new OracleCommand(strQuery, dbconn);
OracleDataAdapter adapter = new OracleDataAdapter(selectCommand);
DataTable selectResults = new DataTable();
adapter.Fill(selectResults);
var response = Request.CreateResponse(HttpStatusCode.OK, returnObject, MediaTypeHeaderValue.Parse("application/json"));
ContentDispositionHeaderValue contentDisposition = null;
if (ContentDispositionHeaderValue.TryParse("inline; filename=ProvantisStudyData.json", out contentDisposition))
{
response.Content.Headers.ContentDisposition = contentDisposition;
}
return response;
}
}
}
我想知道我们是否可以使用相同的API查询整个记录(即,不跳过STPR_STUDY.STD_REF IN(“BL001,TM002”)的位置,而不在URL中传递任何内容,如
https://bhbl.abc.org/api/Sample
我尝试了这个,但它继续加载而没有显示任何错误。我不确定我所做的事情是否正确。
答案 0 :(得分:1)
首先,您可以检查ID数组以查看它是否为空。如果它是空的,那么不要附加你的where子句,否则就行了。
更重要的是,您不应该使用url中的参数来直接构造sql语句。你正在为sql注入攻击创建一个很好的候选者。你应该做些什么来消毒你的输入。