sqlParameter的使用------七个构造函数

最新推荐文章于 2025-03-14 10:17:51 发布
最新推荐文章于 2025-03-14 10:17:51 发布
阅读量4.7k 收藏 10
点赞数
文章标签: SQLserve SQLparamete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_40120883/article/details/81673270
版权

sqlParameter对象的作用是将要用于操作数据库的数据(如根据ID查询时要用到id)以参数的形式加入到sql语句中,防止因为拼接字符串而引起的安全问题并且提高可读性。所以使用是要先创建一个sqlParameter对象,在定义时或定义后(取决于创建时调用的哪一个构造函数)将数据绑定到参数。在执行操作之前,用SQLcommand.Parameter的Add方法(单个SQLparameter对象)或AddRange方法(SQLparameter数组)将SQLparameter对象加到字符串中即可执行。

本文主要罗列了下SQLparameter的七个构造函数

1、

public SqlParameter();

无参构造函数

2、

public SqlParameter(string parameterName, SqlDbType dbType);

参数:
          parameterName:要映射的参数的名称

          dbType:System.Data.SqlDbType 值之一,SqlDbType是一个枚举类型的变量,其所有的值为:

 //
    // 摘要:
    //     指定 SQL Server 特定数据类型的字段、 属性,用于 System.Data.SqlClient.SqlParameter。
    public enum SqlDbType
    {
        //
        // 摘要:
        //     System.Int64。 64 位带符号整数。
        BigInt = 0,
        //
        // 摘要:
        //     System.Array类型System.Byte。 固定长度流,范围在 1 到 8000 个字节之间的二进制数据。
        Binary = 1,
        //
        // 摘要:
        //     System.Boolean。 无符号的数字值,可为 0,1,或 null。
        Bit = 2,
        //
        // 摘要:
        //     System.String。 范围在 1 到 8000 个字符之间的非 Unicode 字符固定长度流。
        Char = 3,
        //
        // 摘要:
        //     System.DateTime。 日期和时间数据,值范围从 1753 年 1 月 1 日至 12 月 31 日,精确到 3.33 毫秒到 9999。
        DateTime = 4,
        //
        // 摘要:
        //     System.Decimal。 固定的精度和小数位数之间的数值范围为-10 38 -1 和 10 38 -1。
        Decimal = 5,
        //
        // 摘要:
        //     System.Double。 浮点数,范围在-1.79 e + 308 到 1.79 e + 308 之间。
        Float = 6,
        //
        // 摘要:
        //     System.Array类型System.Byte。 范围从 0 到 2 的二进制数据的长度可变的流 31 -1 (或者 2147483647) 字节。
        Image = 7,
        //
        // 摘要:
        //     System.Int32。 32 位带符号整数。
        Int = 8,
        //
        // 摘要:
        //     System.Decimal。 货币值,范围从-2 63 (即-9223372036854775808) 到 2 63 -1 (或 9223372036854775807),精确到货币单位的万分之一。
        Money = 9,
        //
        // 摘要:
        //     System.String。 范围在 1 到 4000 个字符之间的 Unicode 字符的固定长度流。
        NChar = 10,
        //
        // 摘要:
        //     System.String。 最大长度为 2 Unicode 数据的长度可变的流 30 -1 (或者 1073741823) 个字符。
        NText = 11,
        //
        // 摘要:
        //     System.String。 范围在 1 到 4000 个字符之间的 Unicode 字符长度可变的流。 如果字符串大于 4000 个字符,隐式转换将失败。
        //     使用字符串长度超过 4000 个字符时,请显式设置对象。 使用 System.Data.SqlDbType.NVarChar 数据库列时 nvarchar(max)。
        NVarChar = 12,
        //
        // 摘要:
        //     System.Single。 浮点数,范围在-3.40 e + 38 到 3.40 e + 38 之间。
        Real = 13,
        //
        // 摘要:
        //     System.Guid。 全局唯一标识符 (或 GUID) 中。
        UniqueIdentifier = 14,
        //
        // 摘要:
        //     System.DateTime。 数值范围从 1900 年 1 月 1 日到 2079 年 6 月 6 日精度为一分钟的日期和时间数据。
        SmallDateTime = 15,
        //
        // 摘要:
        //     System.Int16。 16 位带符号整数。
        SmallInt = 16,
        //
        // 摘要:
        //     System.Decimal。 一个范围从-214,748.3648 到 +214,748.3647,精确到货币单位的万分之一的货币值。
        SmallMoney = 17,
        //
        // 摘要:
        //     System.String。 最大长度为 2 的非 Unicode 数据的变量长度流 31 -1 (或者 2147483647) 个字符。
        Text = 18,
        //
        // 摘要:
        //     System.Array类型System.Byte。 自动生成二进制数字,保证在数据库中是唯一。 timestamp 通常用作为表行加版本戳的机制。 存储大小为
        //     8 个字节。
        Timestamp = 19,
        //
        // 摘要:
        //     System.Byte。 8 位无符号整数。
        TinyInt = 20,
        //
        // 摘要:
        //     System.Array类型System.Byte。 范围在 1 到 8000 个字节之间的二进制数据长度可变的流。 如果字节数组大于 8000 个字节,隐式转换将失败。
        //     在使用字节数组大于 8000 个字节时,请显式设置对象。
        VarBinary = 21,
        //
        // 摘要:
        //     System.String。 范围在 1 到 8000 个字符之间的非 Unicode 字符长度可变的流。 使用 System.Data.SqlDbType.VarChar
        //     数据库列时 varchar(max)。
        VarChar = 22,
        //
        // 摘要:
        //     System.Object。 可以包含数值的特殊数据类型,字符串、 二进制文件中,或日期数据,以及 SQL Server 值的空和 Null,这将假定如果没有其他声明类型。
        Variant = 23,
        //
        // 摘要:
        //     XML 值。 获取将 XML 作为字符串使用 System.Data.SqlClient.SqlDataReader.GetValue(System.Int32)
        //     方法或 System.Data.SqlTypes.SqlXml.Value 属性,或指定为 System.Xml.XmlReader 通过调用 System.Data.SqlTypes.SqlXml.CreateReader
        //     方法。
        Xml = 25,
        //
        // 摘要:
        //     一个 SQL Server 用户定义类型 (UDT)。
        Udt = 29,
        //
        // 摘要:
        //     用于指定包含在表值参数中的结构化的数据的特殊数据类型。
        Structured = 30,
        //
        // 摘要:
        //     日期数据,从 1 月的值范围为 1,1 AD 到公元 9999 年 12 月 31 日。
        Date = 31,
        //
        // 摘要:
        //     基于 24 小时制时间数据。 时间值范围是 00:00:00 到 23:59:59.9999999 100 纳秒精度。 对应于 SQL Server time
        //     值。
        Time = 32,
        //
        // 摘要:
        //     日期和时间数据。 日期值范围是从 1 月 1,1 AD 到公元 9999 年 12 月 31 日。 时间值范围是 00:00:00 到 23:59:59.9999999
        //     100 纳秒精度。
        DateTime2 = 33,
        //
        // 摘要:
        //     时区的日期和时间数据。 日期值范围是从 1 月 1,1 AD 到公元 9999 年 12 月 31 日。 时间值范围是 00:00:00 到 23:59:59.9999999
        //     100 纳秒精度。 时区值范围是-14:00 至 + 14:00。
        DateTimeOffset = 34
    }

3、

public SqlParameter(string parameterName, object value);

 parameterName: 要映射的参数的名称。
 value:   作为 System.Object 的值的 System.Data.SqlClient.SqlParameter。即映射参数的值。

4、

public SqlParameter(string parameterName, SqlDbType dbType, int size);

与 2 的区别,多了一个int类型的参数,表示参数值的长度

5、

public SqlParameter(string parameterName, SqlDbType dbType, int size, string sourceColumn);

与4相比多了个string类型的参数sourceColumn,表示源列名 (System.Data.SqlClient.SqlParameter.SourceColumn)(如果在调用 Overload:System.Data.Common.DbDataAdapter.Update中使用了此 System.Data.SqlClient.SqlParameter)。

6、

public SqlParameter(string parameterName, SqlDbType dbType, int size, ParameterDirection direction, bool isNullable, byte precision, byte scale, string sourceColumn, DataRowVersion sourceVersion, object value);

7、

public SqlParameter(string parameterName, SqlDbType dbType, int size, ParameterDirection direction, byte precision, byte scale, string sourceColumn, DataRowVersion sourceVersion, bool sourceColumnNullMapping, object value, string xmlSchemaCollectionDatabase, string xmlSchemaCollectionOwningSchema, string xmlSchemaCollectionName);

 

风和树里
关注
25-2 sql注入攻击 - 宽字节注入
weixin_43263566的博客
03-04 672
在 PHP 中使用 addslashes() 函数对输入进行转义,但在 GBK 编码下,部分特殊字符可能会以多个字节表示,从而绕过 addslashes() 的转义。然而,PHP中的宽字节 addslashes() 函数是一个自定义的函数,它不是PHP标准库中的原生函数。在PHP中,addslashes() 函数用于在字符串中的某些字符前添加反斜杠。变量拼接到 SQL 查询语句中,这样容易受到 SQL 注入攻击,特别是在GB2312、GBK等中文编码环境下,可以利用宽字节注入绕过转义,造成安全隐患。
Table API & SQL系统(内置)函数System (Built-in) Function详解
L
08-17 271
Flink Table API & SQL允许用户使用函数进行数据转换。
ADO.NET知识总结4---SqlParameter参数
white_papers的博客
01-08 607
表示SqlCommand对象的参数,或与DataSet中列的映射。常用属性DbType参数的SqlDbType(即数据库的类型而言)Direction输入\ 输出 \ 输入输出 \ 返回值参数参数的名称Size最大大小字节为单位Value参数的值SqlValue作为SQL类型的参数的值。
SqlParameter的用法
04-13
SqlParameter详细用法哦
《Java SQL 操作指南:深入理解 Statement 用法与优化》
keshi12354的博客
03-14 465
Statement接口继承了和Wrapper接口,使其具备自动关闭和封装功能。:提供close()方法,确保Statement在不再使用时释放资源。Wrapper:提供>)和方法,允许Statement作为其他数据库 API 的封装。此外,Statement还包含多个重要属性,如cursorNamepoolableconnection等。Statement是 JDBC 提供的用于执行 SQL 语句的接口,主要特点如下:适用于执行静态 SQL 语句,每次执行都需要编译。通过执行查询语句,返回。
SqlParameter使用
鹰击长空
07-03 901
 1 public static void Sql_Operation(string userID) 2    {  3        using (SqlConnection myConncetion = new SqlConnection(ConfigurationManager.AppSettings["ConnString"])) 4        using (SqlComm
SqlParameter构造函数让人大吃一斤
yangshen998
08-09 155
public SqlParameter( string parameterName, Object value ) 当使用以上SqlParameter构造函数时,如果这个Object为整型0的话,会构造失败。比如说 SqlParameter[] sqlParas = { new SqlParameter("@WebUserId", WebUserId), ...
php cve-2014-8142漏洞,Drupal 7.31 SQL注入漏洞(CVE-2014-3704) EXP测试代码
weixin_39594312的博客
04-01 803
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。最近频繁爆发各种0day,真是把大家累坏了。Drupal 7.31 SQL注入漏洞(CVE-2014-3704)就是其中一个,该漏洞利用测试方法“简单粗暴”,受到安全研究者们的青睐。Drupal Sql注入漏洞原理是酱紫的,Drupal在处理IN语句的时候,要通过expandArgu...
Dav_笔记12:Automatic SQL Tuning 之 3 SQL-Tuning
Dav_2099的博客
08-01 2510
您可以手动调用SQL Tuning Advisor以按需调整一个或多个SQL语句。要调整多个语句,必须创建SQL调优集(STS)。SQL调优集是一个数据库对象,它存储SQL语句及其执行上下文。您可以使用命令行API或企业管理器创建SQL调优集。请参见“Dav_笔记12:Automatic SQL Tuning 之 4 管理SQL调优集”。
SqlParameter 基本用法
kiven
03-05 5532
本文出处http://developer.51cto.com/art/201105/263535.htm ,少有部分改动 因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个
SqlParameter[]具体用法
01-12 501
做登录功能的时候,需要防止注入,所以用了SqlParameter。 修改了,这样就不用我的那个给cmd附加多个SqlParameter的方法了 cmd.Parameters.AddRange(pg); 登录按钮代码如下 protected void Button1_Click1(object sender, EventArgs e) { ...
sqlparameter 的用法及作用
Just ✿ 跬步
07-23 1110
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。string sql = "update Table1 set
SqlParameter用法
weixin_30348519的博客
06-06 77
1publicstaticvoidSql_Operation(stringuserID)2{3using(SqlConnectionmyConncetion=newSqlConnection(ConfigurationManager.AppSettings["ConnString"]))4using(SqlComma...
mybatis-plus ST_ASTExt
最新发布
03-19
<think>好的,我现在需要帮助用户解决关于MyBatis-Plus中ST_ASTExt的用法或相关问题。首先,我需要确认ST_ASTExt是什么,以及它在MyBatis-Plus中的具体应用。 首先,我回忆一下MyBatis-Plus的功能。它是一个增强工具,在MyBatis的基础上只做增强不做改变,简化开发、提高效率。它提供了通用的CRUD操作,比如Create、Read、Update、Delete,这些基本持久化操作[^1]。此外,MyBatis-Plus还支持条件构造器,例如UpdateWrapper,用于构建复杂的更新条件[^2]。 接下来,用户提到的ST_ASTExt可能是一个特定函数或扩展。我需要确定ST_ASTExt的上下文。在数据库领域,ST_开头的函数通常与空间数据相关,比如PostGIS中的空间函数,例如ST_AsText用于将几何对象转换为文本表示。因此,ST_ASTExt可能是指ST_AsText函数,或者是用户笔误,比如ST_ASTExt可能不存在,正确的可能是ST_AsText或其他类似函数。 假设用户是指ST_AsText,那么在MyBatis-Plus中如何调用这样的数据库函数呢?通常,可以使用MyBatis-Plus的条件构造器来拼接SQL函数。例如,在查询或更新时,通过Wrapper的apply方法调用数据库函数。 例如,在查询中使用ST_AsText: ```java QueryWrapper<Entity> wrapper = new QueryWrapper<>(); wrapper.select("ST_AsText(geometry_column) as wkt"); List<Entity> result = entityMapper.selectList(wrapper); ``` 或者在更新操作中,使用UpdateWrapper来设置字段值为ST_AsText的结果: ```java UpdateWrapper<Entity> updateWrapper = new UpdateWrapper<>(); updateWrapper.setSql("geometry_column = ST_GeomFromText('POINT(1 1)')"); entityMapper.update(null, updateWrapper); ``` 但用户的问题是关于ST_ASTExt,如果这个函数确实存在,可能是特定数据库的扩展函数,需要查阅相关文档确认。如果用户遇到问题,比如SQL语法错误,可能是函数名拼写错误或数据库不支持该函数。 接下来,用户可能遇到的问题可能包括: 1. 如何在MyBatis-Plus的Wrapper中正确调用ST_AsText或其他空间函数。 2. 处理空间数据类型时,如何映射到Java实体类。 3. 使用自定义TypeHandler处理几何类型的转换。 4. 调用数据库特定函数时的SQL注入风险,以及如何安全地拼接SQL片段。 此外,MyBatis-Plus的UpdateWrapper允许链式调用,例如: ```java new UpdateWrapper<Entity>().set("column", "value").apply("ST_AsText(geometry_column) = {0}", param); ``` 但需要注意参数的正确传递和防止SQL注入。 总结可能的解决方案: - 确认数据库支持的函数名称和用法。 - 在Wrapper中使用apply或setSql方法调用函数。 - 使用自定义TypeHandler处理复杂数据类型。 - 检查SQL语句是否正确生成,可能需要开启MyBatis的SQL日志来调试。 最后,生成相关问题,帮助用户深入理解如何在MyBatis-Plus中处理数据库函数和空间数据。</think>在MyBatis-Plus中使用数据库函数如空间函数$ST\_AsText$时,通常通过条件构造器实现。若您指的是类似$ST\_AStExt$的函数,需先确认是否为数据库支持的内置函数(例如PostGIS的$ST\_AsText$)。以下是具体用法和潜在问题分析: ### 1. 调用空间函数的方法 **场景**:查询时将几何字段转换为文本 ```java QueryWrapper<Entity> wrapper = new QueryWrapper<>(); wrapper.select("ST_AsText(geometry_field) AS wkt"); // 显式调用函数并定义别名 List<Map<String, Object>> results = entityMapper.selectMaps(wrapper); ``` 此方法通过原生SQL片段实现字段转换。 ### 2. 更新操作中使用函数 **场景**:通过函数更新几何字段 ```java UpdateWrapper<Entity> updateWrapper = new UpdateWrapper<>(); updateWrapper.setSql("geometry_field = ST_GeomFromText('POINT(10 20)')"); // 直接注入SQL片段 baseMapper.update(null, updateWrapper); ``` 注意:`setSql()`方法直接将内容拼接到SET子句中[^2]。 ### 3. 常见问题与解决方案 - **问题1:函数名拼写错误** 错误提示:`SQL syntax error near 'ST_ASTExt'` 方案:核对数据库文档,确认函数正确名称(如PostGIS的$ST\_AsText$)。 - **问题2:类型映射异常** 错误场景:查询返回的WKT字符串无法自动映射到Java对象 方案:使用`@TableField(typeHandler = WktTypeHandler.class)`注解定义字段类型处理器。 - **问题3:SQL注入风险** 风险场景:拼接未校验的SQL片段 方案:优先使用参数化表达式: ```java wrapper.apply("ST_DWithin(geom_field, ST_GeomFromText({0}), 1000)", "POINT(30 50)"); ``` ### 4. 自定义TypeHandler示例 若需自动转换几何对象与WKT字符串: ```java public class GeometryTypeHandler extends BaseTypeHandler<Geometry> { @Override public void setNonNullParameter(PreparedStatement ps, int i, Geometry parameter, JdbcType jdbcType) { ps.setString(i, GeometryUtils.toWkt(parameter)); // 将几何对象转为WKT存入数据库 } @Override public Geometry getNullableResult(ResultSet rs, String columnName) { return GeometryUtils.fromWkt(rs.getString(columnName)); // 从数据库解析WKT } } ``` 实体类中标注: ```java @TableField(typeHandler = GeometryTypeHandler.class) private Geometry geomField; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值