MS SQL 过滤所有符号 - SQL

在处理 SQL 查询时，可能需要将输入内容中的所有符号进行过滤，以防止 SQL 注入攻击。本文将介绍如何在 MS SQL 中过滤所有符号。

1. 使用 REPLACE 函数

可以使用 REPLACE 函数将输入内容中的所有符号替换为空格或其他指定字符。以下是一个示例查询：

DECLARE @input NVARCHAR(100) = 'Hello, world!'

SET @input = REPLACE(@input, ',', '')
SET @input = REPLACE(@input, '.', '')
SET @input = REPLACE(@input, '!', '')

SELECT @input

该查询将过滤字符串中的逗号、句号和感叹号，最终输出结果为：

Hello world

2. 使用正则表达式

MS SQL 不支持原生正则表达式，但可以使用 CLR (Common Language Runtime) 来实现。这需要在 SQL Server 中创建一个 CLR 程序集，该程序集包含了一个正则表达式的实现。

以下是一个示例查询，该查询使用 CLR 实现的正则表达式过滤输入字符串中的所有符号：

/* 创建 CLR 程序集 */
CREATE ASSEMBLY RegExLib FROM 'C:\Path\To\RegExLib.dll' WITH PERMISSION_SET = SAFE

/* 创建一个正则表达式函数 */
CREATE FUNCTION dbo.RegExReplace(@input NVARCHAR(MAX), @pattern NVARCHAR(MAX), @replacement NVARCHAR(MAX))
RETURNS NVARCHAR(MAX)
AS EXTERNAL NAME RegExLib.RegEx.Replace

该查询创建了一个名为 dbo.RegExReplace 的函数，该函数可以接收三个参数：输入字符串，正则表达式模式和替换字符串。以下是一个示例使用：

DECLARE @input NVARCHAR(MAX) = 'Hello<em>,<b>world</b>!</em>'

SELECT dbo.RegExReplace(@input, '<[^>]+>|[^a-zA-Z0-9 ]', '') AS [FilteredString]

该查询将过滤输入字符串中的所有 HTML 标签和非字母数字字符，最终输出结果为：

Hello world

总结

使用 REPLACE 函数或 CLR 实现的正则表达式，可以在 MS SQL 中过滤所有符号，以防止 SQL 注入攻击。需要根据具体需求选择适当的方法。