虽然公司有要求sql语句要调用ORM的方法处理,就算自己写也要参数化,但还是有些地方会没用注意到,看到下面的文章,惊出冷汗!
-----------------------------------------------------------------------------
执行数据操作时,由于拼接SQL存在种种弊端,早就应该抛弃了,但在现实开发时,又由于种种原因,公司一直采用这种方式(UI层和逻辑层都有严格的过滤,倒也没出现过什么问题),但昨天开发时却出现了意想不到的问题,一个简单的语句会造成严重后果。简单的语句示例如下:
![](https://i-blog.csdnimg.cn/blog_migrate/81178cc93a2a3bb5048d90d76e7ec935.gif)
/// 更新主键为2的记录的总钱数
/// </summary>
/// <param name="totalMoney"> 修改后的总钱数 </param>
public void UpdateTotalMoney( int totalMoney)
{
int id = 2 ; // 数据库表主键
int oldTotalMoney = 5000 ; // 主键为2的记录原来的总钱数
int newTotalMoney = totalMoney; // 主键为2的记录更改后的钱数
int totalMoneyChange = oldTotalMoney - newTotalMoney; // 总钱数的变化量
string sql = string .Format( " update Test1220 set totalMoney = {0},remainMoney = remainMoney-{1} where id = {2} " , newTotalMoney, totalMoneyChange, id); // 总钱数变化,剩余可支配钱数也跟着编号
SqlConnection con = new SqlConnection(sqlConnectString);
con.Open();
SqlCommand cmd = new SqlCommand(sql, con);
cmd.ExecuteNonQuery();
con.Close();
}
![](https://i-blog.csdnimg.cn/blog_migrate/81178cc93a2a3bb5048d90d76e7ec935.gif)
id int IDENTITY ( 1 , 1 ) NOT NULL PRIMARY KEY ,
totalMoney int NULL ,
remainMoney int NULL
)
insert into Test1220(totalMoney,remainMoney) values ( 3000 , 2000 )
insert into Test1220(totalMoney,remainMoney) values ( 5000 , 5000 )
insert into Test1220(totalMoney,remainMoney) values ( 1000 , 1000 )
insert into Test1220(totalMoney,remainMoney) values ( 3000 , 3000 )
insert into Test1220(totalMoney,remainMoney) values ( 3000 , 3000 )
insert into Test1220(totalMoney,remainMoney) values ( 3000 , 3000 )
接下来调用方法UpdateTotalMoney()更新主键为2的记录的总钱数和剩余钱数,UpdateTotalMoney(4000)和UpdateTotalMoney(8000)更新id=2的记录,会发生什么情况呢?执行UpdateTotalMoney(4000)时正常,表中只有id=2的记录跟着更新;但执行完UpdateTotalMoney(8000)之后,却出现了意想不到的问题,所有记录的totalMoney都变成8000了,而remainMoney却一个也没有修改。是什么原因造成的呢?明明已经加了where条件id=2,怎么会更新到所有记录?
这可把我这个菜鸟级的给难住了,简单的语句,传递不同的参数会有时正常有时异常,反复跟踪调试,才发现问题出现在SQL语句上,当参数为8000时,得到的SQL语句为“update Test1220 set totalMoney = 8000,remainMoney = remainMoney--3000 where id = 2”,原来是减运算符和负号连在一起成了SQL的注释符号,把更新时的where条件给注释掉了,真是一个危险的操作!这个错误很隐蔽,查找错误花了很长时间,如果执行数据库操作时参数化,就不会有这种情况了。
---------------------------------------------------------太可怕了!!!