SqlParameter的作用与用法

于 2020-10-13 18:40:37 发布
阅读量834 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ay991120/article/details/109057787
版权

一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。

sqlhelper里:

AddRange方法

  public static string connstr = ConfigurationManager.ConnectionStrings["sql"].ConnectionString;
        //查询语句
        public static DataTable ExcuteTable(string sql, params SqlParameter[] sqlParameters)
        {
            using (SqlDataAdapter sda = new SqlDataAdapter(sql, connstr))
            {
                if (sqlParameters != null && sqlParameters.Count() > 0)
                    sda.SelectCommand.Parameters.AddRange(sqlParameters);
                using (DataTable dt = new DataTable())
                {
                    sda.Fill(dt);
                    return dt;
                }
            }
        }
        //增删改语句
        public static int ExcuteNonQuery(string sql, params SqlParameter[] sqlParameters)
        {
            using (SqlConnection conn = new SqlConnection(connstr))
            {
                using (SqlCommand comm = new SqlCommand(sql, conn))
                {
                    if (sqlParameters != null && sqlParameters.Count() > 0)
                        comm.Parameters.AddRange(sqlParameters);
                    conn.Open();
                    return comm.ExecuteNonQuery();
                }
            }
        }

Add方法

 public static Userinfo Select(string name, string pwd)
        {
            //构建查询语句   =   不能like
            var sql = $"select * from UserInfo where name=@name and pwd=@pwd";
            SqlParameter[] sqlParameters=
            {
                new SqlParameter("@name",name),
                 new SqlParameter("@pwd",pwd),
            };

            var table = DBhelper.ExcuteTable(sql,sqlParameters);
            //如果没有数据  null
            if (table == null || table.Rows.Count < 1)
            {
                return null;
            }
var row = table.Rows[0];
            Userinfo user = new Userinfo()
            {
                Id = Convert.ToInt32(row["Id"]),
                Name = Convert.ToString(row["Name"]),
                Role = Convert.ToInt32(row["Role"])
            };
            return user;
        }

 

ay991120
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于sqlserver中SqlParameter用法注意事项
人生在手
10-12 989
关于sqlserver中SqlParameter用法注意事项
详解C#中SqlParameter作用用法
08-31
本文将详细解析SqlParameter作用及其用法,特别是在防止SQL注入和处理复杂数据类型方面的重要性。 首先,我们要了解SQL注入的风险。在直接拼接SQL语句时,如果用户输入的数据未经验证,恶意用户可能会注入恶意SQL...
Ado.Net SQL语句参数化(SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5396
Ado.Net中SQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
SqlParameter用法
weixin_34034670的博客
06-19 396
关于Sql注入的基本概念,相信不需多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的话,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用都使用drop命令,那么可能你的整个数据库得全线崩溃。 当然,现在重点不是讲sql注入的害处,而是说说如何最大限度的避免注入...
C# 中用 Sqlparameter 的两种用法
08-27
C# 中用 Sqlparameter 的两种用法是指在 C# 语言中使用 Sqlparameter 对象来执行 SQL 语句或存储过程的两种方法。 Sqlparameter 对象是 ADO.NET 中的一种参数对象,它可以用来将参数传递给 SQL 语句或存储过程,从而...
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
C#中SqlParameter类使用方法小结.doc
09-27
C#中SqlParameter类使用方法小结.doc
sqlparameters的使用
04-25
sqlparameter的使用和dictionary泛型化后的使用,在数据访问层中最常见
C# 中SqlParameter类的使用方法小结.docx
06-21
C# 中 SqlParameter 类的使用方法小结 在 C# 中,SqlParameter 类是一个非常重要的类,它可以帮助我们避免 SQL 注入的危害。下面我们将详细讲解 SqlParameter 类的使用方法和避免 SQL 注入的技巧。 一、直接在 SQL...
SQL Server Parameter Sniffing及其改进方法
09-09
SQL Server的Parameter Sniffing(参数嗅探)是一种优化机制,它允许数据库引擎在编译存储过程时获取并使用实际的参数值以生成最优化的执行计划。这种机制在大多数情况下是有益的,因为它能够根据具体参数值创建针对...
数据库SqlParameter 的插入操作,防止sql注入的实现代码
10-27
通过使用`SqlParameter`,我们可以确保输入的数据被正确地格式化,不会与SQL语句的其他部分混淆,从而有效地防止了SQL注入。这种方法优于直接在SQL语句中拼接用户输入,因为后者容易受到注入攻击。 总的来说,理解...
ADO.NET中命令参数(SqlParameter)使用示例
05-25
下面我们将深入探讨SqlCommand和SqlParameter的使用。 首先,我们创建一个SqlConnection对象,它代表到SQL Server数据库的连接。我们需要提供连接字符串,该字符串包含了数据库的详细信息,如服务器名称、数据库名...
SqlParameter 基本用法
kiven
03-05 5406
本文出处http://developer.51cto.com/art/201105/263535.htm ,少有部分改动 因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个
sqlParameter的两种写法 以及存储过程还有sql语句(防注入)
dazhi5407的博客
09-27 443
SqlParamerter sp=new SqlParamerter[]{ new SqlParamerter("@id",id)}    SqlParameter[] sp = new SqlParameter[1]; sp[0] = new SqlParameter("@name", name);   ----------------------------...
asp.net C#命名参数SqlParameter详解
仰望星空的博客
12-31 1660
本文转载自“zky0901”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值