SQL 参数化示例

最新推荐文章于 2023-01-13 14:00:00 发布
最新推荐文章于 2023-01-13 14:00:00 发布
阅读量629 收藏
点赞数
分类专栏: .NET 文章标签: sql parameters date basic object string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dannywj1371/article/details/7834455
版权

单独传递参数:

string sql = string.Format(@"select count(*) from sip_did_subscribe where acct_id=@acct_id and lower(nation_code) = @nation_code and lower(purpose) = @purpose");


                object o = SqlHelper.ExecuteScalar(Conn.IOF, CommandType.Text, sql, iofHelper.NewParameter("@acct_id", accountId), iofHelper.NewParameter("@nation_code", nationCode.ToLower()), iofHelper.NewParameter("@purpose", purpose.ToLower()));

      

参数数组方式:

       
                StringBuilder sql = new StringBuilder();
                sql.Append(@"select top 1000 local_provider_acctid as LP_ACCTID,
                        PORT_IN_DID,
                        first_NAME as F_Name,
                        last_name as L_Name,
                        street_number + '' + '' + street_number_suffix + '' + pre_directional + '' + Street_name + '' + street_suffix + '' + post_directional + '' + secondary_location_description + '' + unit as address,
                        city,
                        state,
                        country,
                        zip,
                        zip4,
                        ACCTID,
                        BTN,
                        order_id as OrderID,
                        L3_order_id as L3OrderID,
                        convert(char(10), LOA_DATE, 101) as LOA_DATE,
                        port_in_provider,
                        DESCRIPTION AS STATUS,
                        A.pon_id
                        from bb_DID_PORT_IN_REQUEST A, bb_DID_PORT_IN_STATUS B
                        WHERE A.STATUS = B.STATUS ");

                    sql.Append(" and acctid =@acct_id ");
        
                    sql.Append(" and order_id =@order_id ");
     
                    sql.Append(" and l3_order_id =@l3_order_id ");
       
                    sql.Append(" and acctid = (select acct_id from bb_account_basic where bbn=@bb_number) ");
     
             

                IDbDataParameter[] parameters = new IDbDataParameter[]
                                              {
                                                  iofHelper.NewParameter("@acct_id", query.AcctId),
                                                  iofHelper.NewParameter("@order_id", query.OrderId),
                                                  iofHelper.NewParameter("@l3_order_id", query.L3OrderId),
                                                  iofHelper.NewParameter("@bb_number", query.BBN),
                                                  iofHelper.NewParameter("@port_in_DID", query.PortInDID),
                                                  iofHelper.NewParameter("@first_name", query.CustomerName),
                                                  iofHelper.NewParameter("@country", query.Country),
                                                  iofHelper.NewParameter("@city", query.City),
                                                  iofHelper.NewParameter("@status", query.RequestStatus),
                                                  iofHelper.NewParameter("@startime", query.StartTime),
                                                  iofHelper.NewParameter("@endtime", query.EndTime),
                                                  iofHelper.NewParameter("@port_in_provider", query.Provider)
                                               };

using (IDataReader dataReader = SqlHelper.ExecuteReader(Conn.IOF, CommandType.Text, sql.ToString(), parameters))
                {
                    while (dataReader.Read())
                    {
                        PortInItem portInItem = new PortInItem();
                        portInItem.ACCTID = dataReader["ACCTID"].ToString();
                        portInItem.Address = dataReader["address"].ToString();
                        portInItem.BTN = dataReader["BTN"].ToString();
                        portInItem.City = dataReader["city"].ToString();
                        portInItem.Country = dataReader["country"].ToString();
                        portInItem.F_Name = dataReader["F_Name"].ToString();
                        portInItem.L_Name = dataReader["L_Name"].ToString();
                        portInItem.L3OrderID = dataReader["L3OrderID"].ToString();
                        portInItem.LOA_DATE = Convert.ToDateTime(dataReader["LOA_DATE"].ToString());
                        portInItem.LP_ACCTID = dataReader["LP_ACCTID"].ToString();
                        portInItem.OrderID = dataReader["OrderID"].ToString();
                        portInItem.Pon_id = dataReader["pon_id"].ToString();
                        portInItem.PORT_IN_DID = dataReader["PORT_IN_DID"].ToString();
                        portInItem.PROVIDER = GetPortInProvider(int.Parse(dataReader["port_in_provider"].ToString()));
                        portInItem.State = dataReader["state"].ToString();
                        portInItem.STATUS = dataReader["STATUS"].ToString();
                        portInItem.Zip = dataReader["zip"].ToString();
                        portInItem.Zip4 = dataReader["zip4"].ToString();
                        portInItems.PortInItemModels.Add(portInItem);
                    }
                    portInItems.BaseResult.Code = 0;
                    log.Info("Query Result Count:" + portInItems.PortInItemModels.Count);
                }


dannywj1371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLServer Top语句参数化方法
09-11
`sp_executesql`存储过程是SQL Server提供的一种执行参数化SQL语句的方法,它可以有效地防止SQL注入,同时提高查询性能,因为它会缓存已编译的查询计划,对于重复执行的SQL语句,可以避免重复解析和编译的过程。...
c# 将dataset中的数据导入到sql数据库中
wind_cloud2011的专栏
01-14 2679
SqlConnection con = new SqlConnection("Data Source=.;Initial Catalog=data;User ID=sa;password=sa;Integrated Security=False"); //参数化sql语句 public void InSertData(string s1,string s2, str
SqlDataSource数据转DataSet,DataView
人在江湖漂
06-04 3906
 代码如下: string ConnectionString = "Server=localhost;Integrated Security=True;Database=Northwind;User=****;password=****;"; string QueryString = "SELECT * FROM [Employees]";
C# 之 数据集SQL Dataset
陈言必行 -- Unity游戏开发领域优质博主
08-30 1932
ADO.NET数据访问技术的一个突出特点就是支持离线访问,而实现这种离线访问的技术核心急速DataSet对象,该对象通过数据驻留在内存来实现离线访问。 DataSet对象由一组DataTable对象组成,这些对象与DataRelation对象又包含Row(行),集合,Columns(列)集合,Rows集合是有多个DAtaRow对象组成,Columns集合是由多个Datacolumns对象组成。 ...
Sql参数化,防止Sql注入
m0_57701510的博客
12-20 287
cmd.Parameters.Add():添加一个参数。增加多个参数时,需要使用一个Foreach循环;表示 SqlCommand 的参数,也可以是它到 DataSet 列的映射。cmd.Parameters.AddRange():添加一个参数的数组;程序集: System.Data(在 System.Data.dll 中)命名空间: System.Data.SqlClient。Sql参数化添加多条数据,废话不多说,上码。SqlParameter 类。Sql Server数据库。
关于DataSet的参数传递
siday2151的专栏
02-26 2507
这两天项目要做一个调用存储过程的共通方法,所以就做了两个类,一个data类,负责用sqlAdapter调用存储过程,一个business类,把存储过程用的参数,分装在dataset中,之后调用data类的方法,data类实例.CMPSpKick( string strSPName, DataSet dtsInParam, DataSet dtsOutParam )因为DataSet
SQL WHERE IN参数化编译写法简单示例
09-09
这个示例展示了正确的参数化编译方式。我们首先创建一个包含所有值的列表,并使用`join`函数生成一个由 `%s` 占位符组成的字符串。然后,将这个字符串格式化到SQL语句中。这种方式确保了每个值都将作为单独的参数...
sql注入预防,参数化预编译示例
05-07
sql注入防护,预编译示例
如何用参数化SQL语句污染你的计划缓存
12-14
标题中的“如何用参数化SQL语句污染你的计划缓存”指的是在使用参数化SQL查询时,由于不正确的编程方式可能会导致SQL Server的计划缓存中积累大量的不同执行计划,从而影响性能。描述中提到了ADO.NET的`AddWithValue...
Dataway接口配置服务,去掉后台,从此告别Controller、Service、Mapping
chendongdong1的博客
06-04 1383
博客(coder的自我修养)原文链接:http://www.imcoder.fun/archives/1591174066705 1、Dataway介绍 Dataway 是基于 DataQL 服务聚合能力,为应用提供的一个接口配置工具。使得使用者无需开发任何代码就配置一个满足需求的接口。 整个接口配置、测试、冒烟、发布。一站式都通过 Dataway 提供的 UI 界面完成。UI 会以 Jar 包方式提供并集成到应用中并和应用共享同一个 http 端口,应用无需单独为 Dataway 开辟新的管理端口。
SQL参数化(防止SQL注入)
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
SQL参数化-防SQL注入
08-30
关于SQL参数化的解释,关于参数化的一些自己的见解,参数化主要是为了防止SQL注入。
类型化DataSet的自定义sql语句以及性能优化
java开发指南博客 【转载】
03-30 133
类型DataSet的功能非常强大,我们查询数据的时候也没必要写那么多的代码,数据库的连接和关闭也不需要我们自己控制。最多就是是几个sql语句。学了这么久我算是体会到C#的过人之处了。下面就做个这样的小练习来写个小程序。 1.新添加一个mdf文件,这个就不多说了 2.新建一个数据集这个也是比较简单的。 3.鼠标右键右击数据集,选择添加之后选择query,如图所示 4.点击下一步选择s...
SQL参数化查询
weixin_30514745的博客
03-13 628
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 数据库参数化规律:在参数化SQL中参数名的格式跟其在存储过程中生命存储过程参数一致...
SQL参数化
GaraMaps的博客
09-05 3031
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
Sql参数化
weixin_44513361的博客
01-20 2485
关于sql参数化 string strSql="select id,name from [Table] where name=@Name"; using(SqlConnection conn = new SqlConnection ("连接字符串")) { conn.open(); using(SqlCommand cmd = new Sq
常用SQL语句参数化+显示查询结果
www.v5qq.com的技术博客
03-10 493
常用SQL语句参数化集合: 在不同的SQL语句中使用参数化的方式不尽相同,但一般都是用占位符,然后用command对象添加参数如来实现,现在把常用的参数化方法列表如下: 1.select语句的参数化:使用数据库应用最多的恐怕要是查询语句了,他的参数化参数化方法比较常见。 strSql = "select * from table1 where Name=@name " cmd = New ...
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Galaxy_0的博客
01-13 776
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
参数化SQL语句
summerlcxxh的专栏
02-09 412
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
防止sql注入参数化查询示例
最新发布
06-08
我们可以使用参数化查询来防止 SQL 注入攻击,例如在 Python 中使用 MySQLdb 模块: ```python import MySQLdb # 连接数据库 conn = MySQLdb.connect(host='localhost', user='root', passwd='123456', db='test')...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值