是否应在SQL语句中指定日期格式？

我看到开发人员使用隐式日期转换的代码。对于他们为什么不应该这样做，我想要一个明确的答案。

SELECT * from dba_objects WHERE Created >= '06-MAR-2012';

因为'2012/12/1'在美国，在欧洲相同的字符串日期之后是11个月。

允许隐式转换意味着您受位置设置的支配。

如果您可以命名一个可接受的误差范围为11个月的企业，那么我会留下深刻的印象。

如果具有不同日期格式的会话运行该代码，则会出现问题。

陈述失败

DROP TABLE t1;
CREATE TABLE t1 AS (SELECT sysdate mydate FROM dual WHERE 1=2);
ALTER SESSION SET NLS_DATE_FORMAT = 'MON-DD-RR';
INSERT INTO t1 VALUES ('01-02-12');
                       *
ERROR at line 1:
ORA-01843: not a valid month

不良数据

  DROP TABLE t1;
  CREATE TABLE t1 AS (SELECT sysdate mydate FROM dual WHERE 1=2);

  --User 1
  ALTER SESSION SET NLS_DATE_FORMAT = 'MM-DD-RR';
  INSERT INTO t1 VALUES ('01-02-11');

  --User 2
  ALTER SESSION SET NLS_DATE_FORMAT = 'DD-MM-RR';
  INSERT INTO t1 VALUES ('01-02-11');

  --User 3
  ALTER SESSION SET NLS_DATE_FORMAT = 'RR-MM-DD';
  INSERT INTO t1 VALUES ('01-02-11');

  SELECT to_char(mydate,'MM/DD/YYYY') FROM t1;

在这种情况下，因为每个alter / insert语句可以由不同的用户完成。它们都将运行相同的语句，但是结果日期将完全不同。插入语句可能埋在仅被间接调用的包中。由于未返回任何错误，因此可能要等到很久以后才能发现问题。

SQL注入

  CLEAR SCREEN;
  DROP TABLE Secrets;
  CREATE TABLE Secrets (RevealDate Date, Secret Varchar2(200));
  INSERT INTO Secrets VALUES (trunc(sysdate),   '*** Common Knowledge. ***');
  INSERT INTO Secrets VALUES (trunc(sysdate+1), '*** Don''t Let Anyone know this. ***');

  CREATE OR REPLACE PROCEDURE ShowRevealedSecrets IS
     vStatement varchar2(200);
     vOutput Varchar2(1000);
     vDate date:=sysdate;
  begin
  vStatement:='SELECT secret FROM Secrets WHERE RevealDate = ''' || vDate || '''';
  execute immediate vStatement INTO vOutput;
  DBMS_Output.Put_Line(vOutput);
  END;
  /

  --Normal Use.     
  ALTER SESSION SET NLS_DATE_FORMAT = 'DD-MON-YY';
  EXEC ShowRevealedSecrets();

  --Explointing SQL Injection
  ALTER SESSION SET NLS_DATE_FORMAT = '"'' OR RevealDate > sysdate--"';
  EXEC ShowRevealedSecrets();

在这种情况下，恶意个人可能会以某种方式更改会话日期格式，以使他们能够访问通常不会访问的数据。