ADO.NET基础琐碎总结-----参数化查询

最新推荐文章于 2024-04-28 10:55:39 发布
最新推荐文章于 2024-04-28 10:55:39 发布
阅读量620 收藏
点赞数 1
分类专栏: asp.net c# 文章标签: string 数据库 command cmd parameters sql

 参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。

      说起参数化查询当然最主要的就是如何构造所谓的参数:比如,我们登陆时需要密码和用户名,一般我们会这样写sql语句,Select * from Login where  username@Username and password = @Password,为了防止sql注入,我们该如何构建@Username和@Password两个参数呢,下面提供六种(其实大部分原理都是一样,只不过代码表现形式不一样,以此仅作对比,方便使用)构建参数的方法,根据不同的情况选用合适的方法即可:

     说明:以下loginId和loginPwd是户登陆时输入登陆用户名和密码,DB.conn是数据库连接,用时引入using System.Data.SqlClient命名空间

      方法一:

SqlCommand command = new SqlCommand(sqlStr, DB.conn);
command.Parameters.Add("@Username", SqlDbType.VarChar);
command.Parameters.Add("@Pasword", SqlDbType.VarChar);
command.Parameters["@Username"].Value = loginId;
command.Parameters["@Pasword"].Value = loginPwd;

      方法二:

SqlCommand command = new SqlCommand();
command.Connection = DB.conn;
command.CommandText = sqlStr;
command.Parameters.Add(new SqlParameter("@Username", loginId));
command.Parameters.Add(new SqlParameter("@Pasword", loginPwd));

      方法三:

Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);
cmd.parameters.add("@Username",DbType.varchar).value=loginId;
cmd.parameters.add("@Pasword",DbType.varchar).value=loginPwd;

      方法四:

Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);
cmd.parameters.addwithvalue("@Username",loginId);
cmd.parameters.addwithvalue("@Pasword",loginPwd);

      方法五:

复制代码 
  Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);  
  SqlParameter para1=new SqlParameter("@Username",SqlDbType.VarChar,16);
  para1.Value=loginId;
  cmd.Parameters.Add(para1);
  SqlParameter para2=new SqlParameter("@Pasword",SqlDbType.VarChar,16);
  para2.Value=loginPwd;
  cmd.Parameters.Add(para2);
复制代码

      方法六:

复制代码 
 SqlParameter[] parms = new SqlParameter[]
 {
     new SqlParameter("@Username", SqlDbType.NVarChar,20),
     new SqlParameter("@Pasword", SqlDbType.NVarChar,20),
 };
 SqlCommand cmd = new SqlCommand(sqlStr, DB.conn);
 // 依次给参数赋值
 parms[0].Value = loginId;
 parms[1].Value = loginPwd;
//将参数添加到SqlCommand命令中
foreach (SqlParameter parm in parms)
{
    cmd.Parameters.Add(parm);
}
复制代码

      后记:鉴于园友对 dedeyi鬼火飘荡 ,guihwu 的疑问,我在写一个说明。六种方法其实我想大家都明白微软的底层都是一样的有兴趣的可以反编译一下,只是写法和实现方法的不同,也可以说是语法糖,但是每个人都会选择一个自己想用的,我就随便总结了下。下面具体在把这些方法做个简要说明。方法一和方法二都是用SqlCommand的parameters属性的add方法,add方法里面有七个构造函数,其实方法二就是用的第一个构造函数,至于为什么没写类型是因为有以object为参数的构造函数,当然还有其他的构造函数可以用,可以加入类型参数、指定长度等,我仅仅是说下形式,具体的msdn说的非常清楚。方法三和方法一完全一样仅仅形式不同。至于方法四那就不同了:在.Net Framework 2.0中SqlClient增加了AddWithValue(string parameterName, object value)方法。 该方法简化了调用储存过程的输入参数过程,在运行时对所输入的数据类型进行判断,获取对应的数据库类型。因此该方法在运行效率上比用  Add(string parameterName, SqlDbType sqlDbType, int size, string sourceColumn)方法要低。在效率要求较高的地方仍然建议使用Add()方法,其它场合可以使用AddWithValue()简化代码编写量。方法五和方法二也是一样的,方法五只是分开写了。方法六用了c#3.0的特性——集合初始化器,代码也很清晰,原理同上,不再赘述。

 

-----------------------------------------------------------------------------------------------------------------------------------------------

 

作者:GavinDream(GavinDream主页 博客园) 
出处:http://www.cnblogs.com/fuchongjundream/
任何转载必须保留完整文章,在显要地方显示署名以及原文链接。如您有任何疑问或者授权方面的协商,请发邮件给我 或者 留言

zhandeen
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ADO.NET数据库访问技术-电子教案
03-15
ADO.NET数据库访问技术-电子教案ADO.NET数据库访问技术-电子教案ADO.NET数据库访问技术-电子教案ADO.NET数据库访问技术-电子教案ADO.NET数据库访问技术-电子教案
params可变参数、SqlCommand.Parameters.add()方法
weixin_30244889的博客
09-26 534
namespace params可变参数{ class Program { static void Main(string[] args) { int[] num = {66,99,55,44, }; Test("老王",num); Test("老王",55,55,55); //从方法哪里的参...
SqlCommand.Parameters.add()方法
libby的专栏
04-30 2558
SqlCommand.Parameters.add(name,value) sc.Parameters.Add(parameterName,sqlDbType,size)     第一个是参数名,第二个是参数类型,第三个是长度     这是对应的你的SQL语句里的参数如:     SqlCommand   sc=new   SqlCommand("select   *   from   U
参数化查询,·需要参数@变量名,但未提供的解决办法。
肉丝的盘子
05-24 7687
<br />采用ADO.NET SQLCommand执行带参数查询时,出现以下错误提示:<br /> 其他信息: 参数化查询 '(@ID int,@Name nvarchar(4000)) INSERT INTO table_test(FID,FName) ' 需要参数 @Name,但未提供该参数。<br /> <br />原因:通过跟踪工具发现在服务端变成如下SQL语句,<br />exec sp_executesql N'INSERT INTO table_test(FID,FName) VALUES
C#数据库处理SqlCommand参数parameters增加add方法
曲幽
04-18 6678
SqlCommand.Parameters.Add()添加参数到参数集,add里面的第一个参数是要添加的参数名,第二个参数是参数的数据类型,第三个是数据长度 Parameters的作用就是把存储过程执行结束后得到的参数传到程序里
mysql parameters_MySqlCommand Command.Parameters.Add已过时?mysql-问答-阿里云开发者社区-阿里云...
weixin_39969611的博客
01-27 124
我正在Visual Studio 2010中制作一个C#Windows Form应用程序。该应用程序正在连接到mysql数据库,我想在其中插入数据。现在我有这部分代码了:MySqlConnection connection; string cs = @"server=server ip;userid=username;password=userpass;database=databse"; con...
ADO.Net DB Connection Visualizer-开源
05-15
这是Microsoft Visual Studio 2005的调试器可视化工具附加程序。它为您提供了一种对数据库连接运行SQL语句并在调试代码的同时在网格中查看结果的快速方法
.NET程序设计 实验七 ADO.NET管理数据库------学习网(实验七).zip
11-22
本实验将通过创建一个的“C#学习网”,使同学们掌握ASP.NET服务器验证控件、ADO.NET对象的使用方法,并初步熟悉数据绑定控件GridView。该网站各页的效果图如图7-1、7-2、7-3、7-4、7-5、7-6、7-7、7-8所示。大体上...
ADO.NET中命令参数(SqlParameter)使用示例
05-25
ADO.NET中关于命令参数(SqlParameter)使用的一个完整示例,包中包括数据库,可直接运行使用。
ADO .NET Data Transfer Tool-开源
05-12
演示:http://www.youtube.com/watch?v=W3g001CpUgg通用数据库管理工具,设计用于跨数据库数据传输(导入,导出),可与任何ADO .NET,ODBC,OLEDB来源一起使用。 (MySQLSQLite,SQL Compact,MsSQL,Firebird等...
ADO.NET官方参考文档2021-09.pdf
10-18
详细说明包括ADO.NET核心类库的使用方法,内容包括DataSet、DataTable、DataView等常见工具的详细使用方法和主义事项。 具体包括到内存表dataTable的建立、插入数据、排序、查询等相关,包含大量的案例代码。
C#编程:SqlCommand.Parameters.Add()方法的参数问题。
weixin_30786617的博客
08-15 1626
在存储过程中添加2个参数 sql语句 例: “update [tablename] username = @username where id=@id” 然后把需要的 command.Parameters.Add(new SqlParameter("@id",SqlDbType.VarChar,50)); cmd.Parameters.Add("@username",textUsername.Te...
ADO.NET之Parameter属性
weixin_34185512的博客
12-18 397
ADO.NET中, public SqlParameterCollection Parameters {get;}会得到一个SqlParameter属性。下面通过一个例子进行详细的认识吧。 //例如在一个事件处理方法中有 using (SqlCommand cmd=new SqlCommand()) { try{ ...
ado.net数据操作全接触二(query,Parameters
cmses的专栏
03-02 519
5.1使用SQLDataReader进行数据库查询1: 2: 3:4: 5: Dim myConnection As SqlConnection6: Dim myCommand As SqlCommand7: Dim myDataReader As SqlDataReader8:9: myConnection = New SqlConnection( "server=localhost;uid=s
ado.net中的parameters
aoxiang09的专栏
06-12 783
 Const STR_SQL_USER_DELETE As String = "DELETE FROM tblUser WHERE Id=@Id"......            Add Delete command parameters            cmmUserDelete.Parameters.Add("@FirstName", SqlDbType.VarChar, 50,
Ado.Net SQL语句参数化SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5201
Ado.NetSQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
报表控件Stimulsoft在JavaScript报告工具中的事件:查看器事件(上)
最新发布
励志做最业余的专业博主,控件产品可以私我~
04-28 769
在本文中,我们为JS报告工具中的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
(12)C#ADO.NET 案例----增删改查的小管理窗口
06-07
对于 C# ADO.NET 的小管理窗口,一般需要实现增删改查的功能。下面是一个简单的实现过程: 1. 首先需要创建一个数据库,并创建一个表用于存储数据。可以使用 SQL Server Management Studio 进行创建。 2. 在 C# 中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值