参数化SQL语句

最新推荐文章于 2024-07-19 12:37:36 发布
最新推荐文章于 2024-07-19 12:37:36 发布
阅读量2.7k 收藏 4
点赞数
分类专栏: 数据库 文章标签: sql

转自:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html 

避免SQL注入的方法有两种:
一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

1
select  * from  UserInfo where  sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为: 

1
select  * from  UserInfo where  sex=@sex

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

1
select  * from  UserInfo where  sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码: 

1
2
3
4
5
6
7
8
9
10
11
12
13
//实例化Connection对象
SqlConnection connection = new  SqlConnection( "server=localhost;database=pubs;uid=sa;pwd=''" );
//实例化Command对象
SqlCommand command = new  SqlCommand( "select * from UserInfo where sex=@sex and age>@age" , connection);
//第一种添加查询参数的例子
command.Parameters.AddWithValue( "@sex" , true );
//第二种添加查询参数的例子
SqlParameter parameter = new  SqlParameter( "@age" , SqlDbType.Int); //注意UserInfo表里age字段是int类型的
parameter.Value = 30;
command.Parameters.Add(parameter); //添加参数
//实例化DataAdapter
SqlDataAdapter adapter = new  SqlDataAdapter(command);
DataTable data = new  DataTable();

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

数据库 Access MySQL Oracle
 SQL语句 select * from UserInfo 
where sex=? and age>?		 select * from UserInfo 
where sex=?sex and age>?age		 select * from UserInfo 
where sex=:sex and age>:age
参数 OleDbParameter MySqlParameter OracleParameter
实例化参数 OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean); MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit); OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值 p.Value=true; p.Value=1; p.Value=1;

      通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。 
注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

 

Command对象传参效率测试

在.net平台,普通的insert语句有两种写法,不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2),它们的执行效率如何呢?
做了个试验,代码如下:(数据库是oracle)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
public  partial  class  WebForm1 : System.Web.UI.Page
     {
         protected  void  Page_Load( object  sender, EventArgs e)
         {
             //test1();
             test2();
         }
         private  void  test1()
         {
             OracleConnection con = new  OracleConnection();
             con.ConnectionString = "Data Source=oracl;User Id=xxx;Password=xxx;Persist Security Info=True;" ;
             System.Random r = new  Random(( int )System.DateTime.Now.Ticks);
             string  strCommand = "insert into test(c1,c2) values({0},{1})" ;
             OracleCommand com = new  OracleCommand();
             com.Connection = con;
             con.Open();
             DateTime dt = DateTime.Now;
             Label1.Text = "不传参:" +DateTime.Now.ToLongTimeString();
             for  ( int  i = 0; i < 50000; i++)
             {
 
                 com.CommandText = string .Format(strCommand, r.Next(), r.Next());
                 com.ExecuteNonQuery();
             }
             com.CommandText = "truncate table test" ;
             com.ExecuteNonQuery();
             con.Close();
             Label2.Text = DateTime.Now.ToLongTimeString();
         }
         private  void  test2()
         {
             OracleConnection con = new  OracleConnection();
 
             con.ConnectionString = "Data Source=bocodb;User Id=hljyd;Password=hljyd;Persist Security Info=True;" ;
             System.Random r = new  Random(( int )System.DateTime.Now.Ticks);
             string  strCommand = "insert into test(c1,c2) values(:c1,:c2)" ;
             OracleCommand com = new  OracleCommand();
             com.Parameters.Add( ":c1" , OracleType.Number);
             com.Parameters.Add( ":c2" , OracleType.Number);
             com.CommandText = strCommand;
             com.Connection = con;
             con.Open();
             Label1.Text = "传参:" +DateTime.Now.ToLongTimeString();
             for  ( int  i = 0; i < 50000; i++)
             {
                 com.Parameters[ ":c1" ].Value = r.Next();
                 com.Parameters[ ":c2" ].Value = r.Next();
                 
                 com.ExecuteNonQuery();
             }
             com.Parameters.Clear();
             com.CommandText = "truncate table test" ;
             com.ExecuteNonQuery();
             con.Close();
             Label2.Text = DateTime.Now.ToLongTimeString();
         }
     }



执行结果:
10000记录:
不传参数?5:46:19 15:46:34 15秒
传参数:?5:50:51 15:51:01 10秒

50000记录:
不传参数  16:09:03 16:10:24 81秒
传参数::16:15:43 16:16:36 53秒
这只是2个参数的情况,如果参数很多会不会影响更大呢?

10000记录,7个参数:
不传参数:17:11:01 17:11:18 17秒
传参数:17:13:46 17:13:59 13秒
50000记录:7个参数:
不传参数:17:19:02 17:20:25 1分23秒
传参数:17:15:09 17:16:10 1分1秒

需要相差不大,但是向command对象传递参数既可以避免sql注入问题,也可以提高性能;

风随星月
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
嵌入式SQL语言之动态SQL
qq_49090973的博客
01-18 1030
嵌入式SQL语言之动态SQL一、动态SQL的概念和作用二、SQL语句的动态构造-示例1三、动态SQL语句的执行方式概述四、数据字典与SQLDA1、概述2、X/Open标准的系统目录3、Oracle的数据字典五、ODBC与JDBC1、ODBC2、JDBC3、嵌入式SQL的思维模式4、ODBC的思维模式5、JDBC的思维模式6、基于ODBC / JDBC的数据库访问 一、动态SQL的概念和作用 静态SQL特点 SQL语句在程序中已经按要求写好,只需要把一些参数通过变量(高级语言程序语句中不带冒号)传送给嵌入式S
SQL:浅谈带参数的SQL语句与不带参数的SQL语句
Marshallren的博客
06-07 3414
前言:拳打机房重构、脚踢牛腩新闻发布这两个项目之后,现在我却没有搞清楚SQLHelper类中,“带参数的SQL语句”与“不带参数的SQL语句”这两个有什么具体的区别(看来拳打脚踢的不成功啊),于是自己查了查,终于搞懂了问题。 (灵感来源:https://blog.csdn.net/luojun13class/article/details/80735056#前言,感谢巨人的分享) ...
向shell或者sql脚本传参或接收参数的方法
06-24
.向shell中传参数的方法,后面是重定向,将日志导出到当前目录下 sh a.sh aaa bbb > a.log 2.shell中接收参数的方法 echo "@a.sql $1"|sqlplus $1/$2 3.通过shell调用sql脚本,并向其中传参数的方法: echo "@a.sql $1"|sqlplus $1/$2 4.sql脚本接收参数的方法 define v_str=&1 begin p_insert_log('test','&v_str'); end; /
db2 存储过程使用动态sql传递日期参数时报SQLCODE=-401,SQLSTATE=42818
bfhai的博客
10-28 1592
--创建测试表 create tale test1( id int, transdate date ); --复制测试表 create table test2 like test1; --测试存储过程 create procedure proc_test() dynaminc result sets 1 language sql begin declare v_date date; declare v_sql varchar(5000); set v_date='202.
SQL where in 参数化查询
lprebok1的专栏
06-06 3309
6六种where参数化实现,分别如下 1.使用CHARINDEX或like实现where in 参数化 2.使用exec动态执行SQl实现where in 参数化 3.为每一个参数生成一个参数实现where in 参数化 4.使用临时表实现where in 参数化 5.使用xml参数实现where in 参数化 6.使用表值参数(TVP)实现where in 参
如何用参数化SQL语句污染你的计划缓存
12-14
标题中的“如何用参数化SQL语句污染你的计划缓存”指的是在使用参数化SQL查询时,由于不正确的编程方式可能会导致SQL Server的计划缓存中积累大量的不同执行计划,从而影响性能。描述中提到了ADO.NET的`AddWithValue...
SQLServer Top语句参数化方法
09-11
`sp_executesql`存储过程是SQL Server提供的一种执行参数化SQL语句的方法,它可以有效地防止SQL注入,同时提高查询性能,因为它会缓存已编译的查询计划,对于重复执行的SQL语句,可以避免重复解析和编译的过程。...
sql语句中用问号代替参数
08-02
参数化查询允许将变量值插入到SQL语句中,而不是直接将它们拼接到字符串中。问号是大多数数据库系统用来表示这些参数的占位符。例如,以下是一个简单的参数化SELECT语句: ```sql SELECT * FROM Users WHERE ...
asp执行带参数的sql语句实例
10-25
参数化SQL语句则能够有效地避免这种风险。 在给定的代码实例中,我们可以看到如何在ASP中使用ADODB对象来执行带有参数的SQL查询。首先,创建一个`ADODB.Connection`对象来建立与数据库的连接。这里的连接字符串使用...
SQL Server SQL性能优化之参数化
12-14
默认情况下,SQL Server采用简单参数化,这意味着如果收到的SQL语句与之前执行过的任何语句不完全相同,系统会重新编译它。然而,对于某些特定的adhoc SQL,即使参数值改变,SQL Server也会尝试自动参数化,以重用已...
参数化命令执行sql语句
MousseIn的博客
11-30 2766
参数化命令执行sql语句理解参数化指令的好处掌握使用参数化指令执行sql语句使用@构造参数化sql命令sqlParameter对象SqlParameter的属性使用SqlCommmand 执行参数化SQL的步骤 理解参数化指令的好处 防止sql注入 string sb = “SELECT *FROM admin WHERE loginid =’”+loginId+"‘AND loginPwd =’"+logingPwd+"’" string sb =“SELECT * FROM admin WHERE
常用SQL语句参数化+显示查询结果
www.v5qq.com的技术博客
03-10 493
常用SQL语句参数化集合: 在不同的SQL语句中使用参数化的方式不尽相同,但一般都是用占位符,然后用command对象添加参数如来实现,现在把常用的参数化方法表如下: 1.select语句的参数化:使用数据库应用最多的恐怕要是查询语句了,他的参数化参数化方法比较常见。 strSql = "select * from table1 where Name=@name " cmd = New ...
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Galaxy_0的博客
01-13 783
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
SQL参数化
GaraMaps的博客
09-05 3034
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
.net 动态sql 参数应用 oracle和sql server的比较
weixin_30794491的博客
09-28 48
oracle: OracleConnectionOcon=newOracleConnection("userid=cmes;datasource=mes;password=cmes"); OracleCommandOcom=...
SqlCommand 添加参数-与DataAdapter更新
qq_33606071的博客
07-05 603
SqlCommand 带参数,带事务。 【理论基础】 在2.0以前版本的 ADO.NET 中,使用 DataSet 中的更改来更新数据库时,DataAdapter 的 Update 方法每次更新数据库的一行。因为该方法循环访问指定 DataTable 中的行,所以,会检查每个 DataRow,确定是否已修改。如果该行已修改,将根据该行的 RowState 属性值调用相应的 UpdateCommand、InsertCommand 或 DeleteCommand。每一次行更新都涉及网络与数据库之间的双向数据.
PostgreSQL异常:An I/O error occurred while sending to the backend
最新发布
IT后浪的博客
07-19 386
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
python sql语句参数化
09-09
对于 Python 中的 SQL 语句参数化,可以使用数据库模块提供的占位符来实现。最常见的方法是使用 `%s` 占位符来表示参数的位置,具体步骤如下: 1. 导入数据库模块,例如 `import pymysql` 或 `import sqlite3`。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值