不同数据库的参数化SQL语句的写法

最新推荐文章于 2023-01-13 14:00:00 发布
最新推荐文章于 2023-01-13 14:00:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: sql 文章标签: .net c# sql sql注入 sql server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blockhouse_fly/article/details/23660223
版权

之前一直没有使用Oracle,现在刚刚使用,发现他们的参数化SQL语句有这么大的区别?

   

避免SQL注入的方法有两种:
一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

select*from UserInfowhere sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为: 

select*from UserInfowhere sex=@sex

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

select*from UserInfowhere sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码: 

//实例化Connection对象 
SqlConnection connection =newSqlConnection("server=localhost;database=pubs;uid=sa;pwd=''"); 
//实例化Command对象 
SqlCommand command =newSqlCommand("select * from UserInfo where sex=@sex and age>@age", connection); 
//第一种添加查询参数的例子 
command.Parameters.AddWithValue("@sex",true); 
//第二种添加查询参数的例子 
SqlParameter parameter =newSqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的 
parameter.Value = 30; 
command.Parameters.Add(parameter);//添加参数 
//实例化DataAdapter 
SqlDataAdapter adapter =newSqlDataAdapter(command); 
DataTable data =newDataTable();

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

数据库AccessMySQLOracle
 SQL语句select * from UserInfo
where sex=? and age>?		select * from UserInfo
where sex=?sex and age>?age		select * from UserInfo
where sex=:sex and age>:age
参数OleDbParameterMySqlParameterOracleParameter
实例化参数OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean);MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit);OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值p.Value=true;p.Value=1;p.Value=1;

      通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。
注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

 

Command对象传参效率测试

在.net平台,普通的insert语句有两种写法,不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2),它们的执行效率如何呢?
做了个试验,代码如下:(数据库是oracle)

publicpartialclassWebForm1 : System.Web.UI.Page
    {
        protectedvoidPage_Load(objectsender, EventArgs e)
        {
            //test1();
            test2();
        }
        privatevoidtest1()
        {
            OracleConnection con =newOracleConnection();
            con.ConnectionString ="Data Source=oracl;User Id=xxx;Password=xxx;Persist Security Info=True;";
            System.Random r =newRandom((int)System.DateTime.Now.Ticks);
            stringstrCommand ="insert into test(c1,c2) values({0},{1})";
            OracleCommand com =newOracleCommand();
            com.Connection = con;
            con.Open();
            DateTime dt = DateTime.Now;
            Label1.Text ="不传参:"+DateTime.Now.ToLongTimeString();
            for(inti = 0; i < 50000; i++)
            {
  
                com.CommandText =string.Format(strCommand, r.Next(), r.Next());
                com.ExecuteNonQuery();
            }
            com.CommandText ="truncate table test";
            com.ExecuteNonQuery();
            con.Close();
            Label2.Text = DateTime.Now.ToLongTimeString();
        }
        privatevoidtest2()
        {
            OracleConnection con =newOracleConnection();
  
            con.ConnectionString ="Data Source=bocodb;User Id=hljyd;Password=hljyd;Persist Security Info=True;";
            System.Random r =newRandom((int)System.DateTime.Now.Ticks);
            stringstrCommand ="insert into test(c1,c2) values(:c1,:c2)";
            OracleCommand com =newOracleCommand();
            com.Parameters.Add(":c1", OracleType.Number);
            com.Parameters.Add(":c2", OracleType.Number);
            com.CommandText = strCommand;
            com.Connection = con;
            con.Open();
            Label1.Text ="传参:"+DateTime.Now.ToLongTimeString();
            for(inti = 0; i < 50000; i++)
            {
                com.Parameters[":c1"].Value = r.Next();
                com.Parameters[":c2"].Value = r.Next();
                  
                com.ExecuteNonQuery();
            }
            com.Parameters.Clear();
            com.CommandText ="truncate table test";
            com.ExecuteNonQuery();
            con.Close();
            Label2.Text = DateTime.Now.ToLongTimeString();
        }
    }



执行结果:
10000记录:
不传参数?5:46:19 15:46:34 15秒
传参数:?5:50:51 15:51:01 10秒

50000记录:
不传参数  16:09:03 16:10:24 81秒
传参数::16:15:43 16:16:36 53秒
这只是2个参数的情况,如果参数很多会不会影响更大呢?

10000记录,7个参数:
不传参数:17:11:01 17:11:18 17秒
传参数:17:13:46 17:13:59 13秒
50000记录:7个参数:
不传参数:17:19:02 17:20:25 1分23秒
传参数:17:15:09 17:16:10 1分1秒

 

 

liyanfei_cd
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何写出能适应不同数据库SQL 查询
Raqsoft
09-18 593
无论是应用开发还是数据库管理,在不同类型数据库,实现其同样功能的 SQL 查询,都会遇到 SQL 写法或多或少不一样的问题。这与每一个数据库都有自己所特有的一些函数和功能有关。 不同类型的数据库,虽然 SQL 语法大体相似,但是它们各自的函数或符号却有些不同,有的甚至也不通用。比如将字符串 "2020-02-05" 转换成日期,标准 SQL 为 select DATE('2020-02-05') from USER, 不同数据库不同写法: ORACLE:select TO_DATE('2020-02-0
oracle 执行带参数sql语句_Oracle动态SQL语句的简单执行
weixin_30941215的博客
01-11 5031
在使用ODP.NET进行Oracle编程时,有时候SQL语句非常复杂,需要采用动态构造查询语句的情况,有两种方法可以构造动态的SQL语句,并执行返回结果集。1、在数据访问层构造SQL语句例如下面的语句,将构造完整的SQL语句赋值给CommandText,再传递到数据库进行执行,返回结果集。loadCommand.CommandType=CommandType.TextloadCommand.Com...
参数化SQL语句
weixin_30955617的博客
08-25 167
避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
mysqlsqlserver,Access,Oracle 数据库参数化
转身寻找静谧
11-16 1524
mysql、mssqloracle各种数据库参数化写法 2010-12-30 13:56 SQL注入漏洞曾经是Web应用程序的噩梦,CMS、BBS、Blog无一不曾受其害。 SQL注入的原理 以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询: string sql = "SELECT TOP 1 * FROM
Oracle参数化SQL 语句 写法
韦大宝110 (IT民工)
05-13 6803
 OleDbParameter [] opGroup={new OleDbParameter(":sELEMENT_VALUE",OleDbType.VarChar),new OleDbParameter(":sFACTORY_ID",OleDbType.Integer), new OleDbParameter(":sPART_NO",OleDbType.VarChar),new OleD
SQL中in参数化的用法
05-06
SQL中in参数化的用法,用三种方法,详见http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein
SqlServer参数化查询之where in和like实现详解
12-15
若有一天你不可避免的需要提高SQL的查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是必然进行的选择。然而如何实现where in和like的参数化查询,是个让不少人头疼的问题。 where in 的...
SQL培训第一期
03-14
存储过程是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中。用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。 1.9.2 准备 create table t_user ( username varchar2(20), ...
MYSQL的存储过程和函数简单写法
12-15
简单的说,就是一组SQL语句集,功能强大,可以实现一些比较复杂的逻辑功能,类似于JAVA语言中的方法; ps:存储过程跟触发器有点类似,都是一组SQL集,但是存储过程是主动调用的,且功能比触发器更加强大,触发器是某...
DRF参数参考
weixin_50018285的博客
09-09 512
drf 参数说明
不同数据库之间表进行同步SQL写法
tangliuqing的专栏
07-27 250
insert into GWBGDB.dbo.Employee SELECT * FROM WBClient.dbo.Employee WHERE UserID not in (SELECT UserID FROM GWBGDB.dbo.Employee)
SQL参数化
GaraMaps的博客
09-05 3010
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Galaxy_0的博客
01-13 637
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
python—sql语句参数化
python全栈
11-01 2495
# 1、导入mysql from pymysql import * # 2、创建数据库lianjie conn = connect(host='localhost', port=3306, user='root', passwd='root', db='mytestdb', charset='utf8') print(conn) # 3、打开游标 cur=
Oracle执行参数化SQL语句和存储过程
JustLovePro的专栏
08-26 8115
using System;using System.Collections.Generic;using System.Text;using System.Data.OracleClient;using System.Data;namespace OracleOpDemo{    class Program    {        private st
参数化命令执行sql语句
MousseIn的博客
11-30 2638
参数化命令执行sql语句理解参数化指令的好处掌握使用参数化指令执行sql语句使用@构造参数化sql命令sqlParameter对象SqlParameter的属性使用SqlCommmand 执行参数化SQL的步骤 理解参数化指令的好处 防止sql注入 string sb = “SELECT *FROM admin WHERE loginid =’”+loginId+"‘AND loginPwd =’"+logingPwd+"’" string sb =“SELECT * FROM admin WHERE
ORACLE中高效SQL写法
jdb13942639375的博客
12-17 492
ORACLE中高效SQL写法 1、 书写格式规范 1-1、大小文字及空格的统一 1-2、日期格式明确化 1-3、Bind变量的使用 1-4、表别名的使用 1-5、检索时尽量避免检索不需要的列 1-6、ORDER BY列明确指定 1-7、插入列明确指定 1-8、关联表数目的限制 1-9、子查询中不使用视图 1-10、Hint的写法 1-11、命名规范 2、 索引应用规范 2-1、WHERE子句中尽量不用OR 2-2、WHERE子句中尽量不用LIKE ‘%c%’, LIKE ’%c’ 2-3、WHERE子句中
java中通过hql查拼接动态sql写法
最新发布
06-10
在 Java 中,可以通过 Hibernate Query Language (HQL) 来拼接动态 SQL。以下是一个示例代码: ``` String hql = "from User u where 1=1"; if (StringUtils.isNotBlank(username)) { hql += " and u.username like :username"; } if (StringUtils.isNotBlank(email)) { hql += " and u.email like :email"; } Query query = session.createQuery(hql); if (StringUtils.isNotBlank(username)) { query.setParameter("username", "%" + username + "%"); } if (StringUtils.isNotBlank(email)) { query.setParameter("email", "%" + email + "%"); } List<User> userList = query.list(); ``` 在上述示例中,首先定义了一个初始的 HQL 查询语句,然后根据需要动态拼接条件语句。最后创建 Query 对象,并设置查询参数,执行查询并返回结果列表。需要注意的是,为了防止 SQL 注入攻击,应该避免直接拼接字符串,而是使用参数化查询来设置查询参数

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值