在ADO.NET中使用参数化SQL语句的大同小异

最新推荐文章于 2024-04-18 16:26:48 发布
最新推荐文章于 2024-04-18 16:26:48 发布
阅读量1.9w 收藏 44
点赞数
分类专栏: C#基础 asp.net 文章标签: sql string sql server null mysql access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoufoxcn/article/details/2195618
版权
C#基础 同时被 2 个专栏收录
129 篇文章 12 订阅
订阅专栏
asp.net
105 篇文章 4 订阅
订阅专栏

在ADO.NET中经常需要跟各种数据库打交道,在不实用存储过程的情况下,使用参数化SQL语句一定程度上可以防止SQL注入,同时对一些较难赋值的字段(如在SQL Server中Image字段,在Oracle中Clob字段等)使用参数化SQL语句很容易就能赋值,所以本人经常在ADO.NET中使用参数化SQL语句,近几年来陆续跟SQL Server/Oracle/ MySQL/Access打交道,积累了一些心得,现在整理出来供大家参考。

我们假设数据可的结构如下图(设置的数据库为Oracle10g):

它在SQL Server中的创建语句是:
 

create   table  S_Admin (
   UserName              varchar ( 60 )           not   null ,
   Password              varchar ( 60 )           not   null ,
   Remark                varchar ( 50 )           null ,
   Mail                  varchar ( 120 )          not   null ,
   AddDate               datetime               null   default   GETDATE (),
   LoginDate             datetime               null   default   GETDATE (),
   LoginIP               varchar ( 50 )           null ,
   Active                smallint               null   default   1 ,
   LoginCount            int                    null   default   1 ,
    Power                  int                    null   default   0 ,
   Departid              int                    null   default   0 ,
    constraint  PK_S_ADMIN  primary   key   nonclustered  (UserId)
)
 go

 

下面假设数据库的主键都采用了数据库的本地化技术解决了(例如在Access、SQL Server和MySQL中采用自增字段,在Oracle中使用了sequence结合触发器),假如在Oracle中向表中插入一记录的代码如下:
 
using  System;
 using  System.Data;
 using  System.Configuration;
 using  System.Web;
 using  System.Web.Security;
 using  System.Web.UI;
 using  System.Web.UI.WebControls;
 using  System.Web.UI.WebControls.WebParts;
 using  System.Web.UI.HtmlControls;
 using  System.Data.OracleClient;

 ///   <summary>
///  在Oracle中使用参数化SQL的例子
 ///  代码编写:周公
 ///  日期:2008-3-19
 ///  发表网址:http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
///   </summary>
public   class  OracleUtil
{
     public  OracleUtil()
    {
        
    }

     public   bool  InsertAdmin( string  userName,  string  password,  string  remark,  string  mail,  int  departId,  int  power)
    {
         string  sql  =   " insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(:UserName,:Password,:Remark,:Mail,:DepartId,:Power) " ;
        OracleConnection connection  =   new  OracleConnection();
        connection.ConnectionString  =   "" ; // 此处设置链接字符串
        OracleCommand command  =   new  OracleCommand(sql, connection);
        command.Parameters.Add( " :UserName " , OracleType.NVarChar,  60 ).Value  =  userName;
        command.Parameters.Add( " :Password " , OracleType.NVarChar,  60 ).Value  = password;
        command.Parameters.Add( " :Remark " , OracleType.NVarChar,  60 ).Value  =  remark;
        command.Parameters.Add( " :Mail " , OracleType.NVarChar,  60 ).Value  = mail;
        command.Parameters.Add( " :DepartId " , OracleType.Int32,  4 ).Value  = departId;
        command.Parameters.Add( " :Power " , OracleType.Int32,  4 ).Value  =  power;
        connection.Open();
         int  rowsAffected = command.ExecuteNonQuery();
        connection.Close();
        command.Dispose();
         return  rowsAffected  >   0 ;
    }
}
在MySQL中增加同样一条记录的代码如下(需要到MySQL官方网站下载.net驱动程序):
 
using  System;
 using  System.Data;
 using  System.Configuration;
 using  System.Web;
 using  System.Web.Security;
 using  System.Web.UI;
 using  System.Web.UI.WebControls;
 using  System.Web.UI.WebControls.WebParts;
 using  System.Web.UI.HtmlControls;
 using  MySql.Data;
 using  MySql.Data.MySqlClient;

 ///   <summary>
///  在MySQL中使用参数化SQL的例子
 ///  代码编写:周公
 ///  日期:2008-3-19
 ///  发表网址: http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
///   </summary>
public   class  MySqlUtil
{
     public  MySqlUtil()
    {
        
    }

     public   bool  InsertAdmin( string  userName,  string  password,  string  remark,  string  mail,  int  departId,  int  power)
    {
         string  sql  =   " insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(?UserName,?Password,?Remark,?Mail,?DepartId,?Power) " ;
        MySqlConnection connection  =   new  MySqlConnection();
        connection.ConnectionString  =   "" ; // 此处设置链接字符串
        MySqlCommand command  =   new  MySqlCommand(sql, connection);
        command.Parameters.Add( "? UserName " , MySqlDbType.VarChar,  60 ).Value  =  userName;
        command.Parameters.Add( "? Password " , MySqlDbType.VarChar,  60 ).Value  =  password;
        command.Parameters.Add( "? Remark " , MySqlDbType.VarChar,  60 ).Value  =  remark;
        command.Parameters.Add( "? Mail " , MySqlDbType.VarChar,  60 ).Value  =  mail;
        command.Parameters.Add( "? DepartId " , MySqlDbType.Int32,  4 ).Value  =  departId;
        command.Parameters.Add( "? Power " , MySqlDbType.Int32,  4 ).Value  =  power;
        connection.Open();
         int  rowsAffected  =  command.ExecuteNonQuery();
        connection.Close();
        command.Dispose();
         return  rowsAffected  >   0 ;
    }
}
在SQL Server中增加同样一条记录的代码如下:
 
using  System;
 using  System.Data;
 using  System.Data.SqlClient;
 using  System.Configuration;
 using  System.Web;
 using  System.Web.Security;
 using  System.Web.UI;
 using  System.Web.UI.WebControls;
 using  System.Web.UI.WebControls.WebParts;
 using  System.Web.UI.HtmlControls;

 ///   <summary>
///  在SQL Server中使用参数化SQL的例子
 ///  代码编写:周公
 ///  日期:2008-3-19
 ///  发表网址:http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
///   </summary>
public   class  SqlUtil
{
     public  SqlUtil()
    {
        
    }

     public   bool  InsertAdmin( string  userName,  string  password,  string  remark,  string  mail,  int  departId,  int  power)
    {
         string  sql  =   " insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Remark,@Mail,@DepartId,@Power) " ;
        SqlConnection connection  =   new  SqlConnection();
        connection.ConnectionString  =   "" ; // 此处设置链接字符串
        SqlCommand command  =   new  SqlCommand(sql, connection);
        command.Parameters.Add( " @UserName " ,SqlDbType.NVarChar,  60 ).Value  =  userName;
        command.Parameters.Add( " @Password " , SqlDbType.NVarChar,  60 ).Value  =  password;
        command.Parameters.Add( " @Remark " , SqlDbType.NVarChar,  60 ).Value  =  remark;
        command.Parameters.Add( " @Mail " , SqlDbType.NVarChar,  60 ).Value  =  mail;
        command.Parameters.Add( " @DepartId " , SqlDbType.Int,  4 ).Value  =  departId;
        command.Parameters.Add( " @Power " , SqlDbType.Int,  4 ).Value  =  power;
        connection.Open();
         int  rowsAffected  =  command.ExecuteNonQuery();
        connection.Close();
        command.Dispose();
         return  rowsAffected  >   0 ;
    }
}
在Access中增加同样一条记录的代码如下:
 
using  System;
 using  System.Data;
 using  System.Configuration;
 using  System.Web;
 using  System.Web.Security;
 using  System.Web.UI;
 using  System.Web.UI.WebControls;
 using  System.Web.UI.WebControls.WebParts;
 using  System.Web.UI.HtmlControls;
 using  System.Data.OleDb;

 ///   <summary>
///  在Access中使用参数化SQL的例子
 ///  代码编写:周公
 ///  日期:2008-3-19
 ///  发表网址: http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
///   </summary>
public   class  AccessUtil
{
     public  AccessUtil()
    {
        
    }

     public   bool  InsertAdmin( string  userName,  string  password,  string  remark,  string  mail,  int  departId,  int  power)
    {
         string  sql  =   " insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(?,?,?,?,?,?) " ;
        OleDbConnection connection  =   new  OleDbConnection();
        connection.ConnectionString  =   "" ; // 此处设置链接字符串
         // 注意下面参数的顺序一定要按照sql语句中的插入的列的顺序赋值,否则一定会报异常
        OleDbCommand command  =   new  OleDbCommand(sql, connection);
        command.Parameters.Add( " ? " , OleDbType.LongVarWChar,  60 ).Value  =  userName;
        command.Parameters.Add( " ? " , OleDbType.LongVarWChar,  60 ).Value  =  password;
        command.Parameters.Add( " ? " , OleDbType.LongVarWChar,  60 ).Value  =  remark;
        command.Parameters.Add( " ? " , OleDbType.LongVarWChar,  60 ).Value  =  mail;
        command.Parameters.Add( " ? " , OleDbType.Integer,  4 ).Value  =  departId;
        command.Parameters.Add( " ? " , OleDbType.Integer,  4 ).Value  =  power;
        connection.Open();
         int  rowsAffected  =  command.ExecuteNonQuery();
        connection.Close();
        command.Dispose();
         return  rowsAffected  >   0 ;
    }
}
需要说明的是,除了Access之外,操作其它数据库可以不必要按照参数在SQL语句中出现的顺序添加进去一样可以正确执行,但是在Access中一定按照插入的列的顺序添加参数,因为“OLE DB.NET Framework 数据提供程序使用标有问号 (?) 的定位参数,而不使用命名参数(MSDN)”,所以给添加参数和赋值一定要按照列的顺序。

通过上面的例子,基本上可以总结出一个规律:在参数化SQL中参数名的格式跟其在存储过程中生命存储过程参数一致,例如在Oracle中存储过程参数一律以”:”开头,在MS SQL Server中存储过程参数一律以”@”开头,而在MySQL中存储过程(MySQL5.0以后版本支持存储过程)参数一律以“?”开头,所以在参数化SQL语句中参数名有些不一样(记得在csdn上有朋友提到过不知道为什么MySQL中参数化SQL语句中要用“?而不是和SQL Server一样使用”@”),如果那位朋友看过本文,我想他就会解开这个疑虑了。

周公
关注
  • 0
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 14
    评论
专栏目录
ADO.NET使用SqlDataReader时可能发生泄漏
04-05
如果要确保关闭每个对象,则可以使用以下方法:while(true){Thread.Sleep(2000); 使用SqlConnection objConnection =新的SqlConnection(@“集成安全性= SSPI;持久性安全信息=真实;初始目录= Northwind;数据源= .;最大池大小= 1”)))...
ado.net操作oracle简单参数化sql操作
11-23
关于ado.net简单的参数化查询,操作的是oracle数据库!关于ado.net简单的参数化查询,操作的是oracle数据库!
C#数据库教程2-ADO.NET常用SQL语句
04-15
1、ExecuteNonQuery插入SQL数据 2、ExecuteScalar查询SQL语句 3、插入数据后,查询 ID,获得自增字段的值 4、ExecuteReader执行查询
ADO.NET命令参数(SqlParameter)使用示例
05-25
ADO.NET关于命令参数(SqlParameter)使用的一个完整示例,包包括数据库,可直接运行使用
.NET参数化查询数据库
weixin_30325071的博客
07-17 223
  一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()){  con.ConnectionString ="************************";  con.Open();  SqlComm...
ADO.NET参数化查询缩短开发时间
sinodier的专栏
09-13 366
一段时间以来,存储过程一直是企业应用程序开发数据访问的首选方法。存储过程的安全性更高、封装能力更强,并能执行复杂的逻辑,且不会打乱应用程序代码。但是,它也存在一些缺点: • 开发者倾向于在存储过程加入商业逻辑。 • 更改过程时必须改变开发环境。 • 查找过程所需的参数比较费时。 • 许多时候,存储过程提供的功能超出所需。   嵌入到应用程序代码的内联SQL代码是数据访问的另
C#ADO.NET如何在要执行的sql语句使用变量
07-21
C#ADO.NET如何在要执行的sql语句使用变量
SQLin参数化的用法
05-06
SQLin参数化的用法,用三种方法,详见http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein
mysql函数-根据经纬度坐标计算距离
10-08
mysql函数-根据经纬度坐标计算距离
sqlserver根据经纬度计算两点间距离
10-10
sqlserver根据经纬度计算两点间距离sqlserver根据经纬度计算两点间距离sqlserver根据经纬度计算两点间距离sqlserver根据经纬度计算两点间距离
ADO.NETSQLServer数据库连接池
02-21
为了使打开的连接成本最低,ADO.NET使用称为连接池的优化方法。连接池减少新连接需要打开的次数。池进程保持物理连接的所有权。通过为每个给定的连接配置保留一组活动连接来管理连接。只要用户在连接上调用Open,池...
SQL之CASE WHEN用法详解
weixin_42672802的博客
04-18 68
SQL之CASE WHEN用法详解
SQL Server重置自增序列初始值
最新发布
u010466666的专栏
04-18 43
问题描述:数据库迁移后序列值没有正常迁移,导致数据插入失败。1、查询当前数据库数据自增序列最大值。2、修改自增序列值为表最大值。为第一步查询的实际数值。
NL2SQL进阶系列(3):Data-Copilot、Chat2DB、Vanna Text2SQL优化框架开源应用实践详解[Text2SQL]
丨汀、的博客
04-13 371
NL2SQL进阶系列(3):Data-Copilot、Chat2DB、Vanna Text2SQL优化框架开源应用实践详解[Text2SQL]
NL2SQL进阶系列(1):DB-GPT-Hub、SQLcoder、Text2SQL开源应用实践详解
丨汀、的博客
04-12 478
NL2SQL进阶系列(1):DB-GPT-Hub、SQLcoder、Text2SQL开源应用实践详解
ado.net 执行sql语句
08-31
使用 ADO.NET 执行 SQL 语句,你可以按照以下步骤进行操作: 1. 创建一个连接对象(SqlConnection),并传入数据库连接字符串作为参数。连接串包含了访问数据库所需的信息,如数据库服务器名称、认证方式等。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周公

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值