用SQLServer的存储过程,一是可以提高访问效率,二是可以杜绝SQL注入攻击。但是如果要在SQLServer里面写入大量的存储过程、数据逻辑、甚至是业务逻辑,这就会给整个系统的移植、修改带来了大量麻烦。那么有什么办法可以既不是用存储过程,又可以杜绝SQL注入攻击呢?答案就是把“存储过程”写在程序里!废话少说,看代码:
SqlConnection con
=
new
SqlConnection(GetConnectionString());
SqlCommand cmd = new SqlCommand( " SELECT CategoryName FROM Category WHERE CategoryID=@CategoryID " , con);
cmd.Parameters.Add( " @CategoryID " , SqlDbType.Int, 4 );
cmd.Parameters[ " @CategoryID " ].Value = CategoryID;
string CategoryName = string .Empty;
try
{
con.Open();
CategoryName = ( string )cmd.ExecuteScalar();
}
catch
{
CategoryName = " Error " ;
}
finally
{
con.Close();
}
SqlCommand cmd = new SqlCommand( " SELECT CategoryName FROM Category WHERE CategoryID=@CategoryID " , con);
cmd.Parameters.Add( " @CategoryID " , SqlDbType.Int, 4 );
cmd.Parameters[ " @CategoryID " ].Value = CategoryID;
string CategoryName = string .Empty;
try
{
con.Open();
CategoryName = ( string )cmd.ExecuteScalar();
}
catch
{
CategoryName = " Error " ;
}
finally
{
con.Close();
}
不过还有一个问题,比如说SELECT CategoryName FROM Category中,我想要SELECT的CategoryName也是变量,那该怎么办呢?经过试验,CategoryName不能写成@CategoryName,没有这样的语法,只能CategoryName=@CategoryName,必须有个等号,而这里又不能用等号,该怎么办呢?
有人说,拼凑……的确,任何情况下,拼凑是万能的,但是仍然会有SQL注入的隐患,因为变量不在WHERE子句中,所以安全隐患大大减小。然而,拼凑也是有好、坏方法之分,正解是String.Format()方法,它能替换字符串的N组内容,详细信息请查阅MSDN。