SQL参数化查询讲座 (五)

最新推荐文章于 2024-10-18 19:12:03 发布
最新推荐文章于 2024-10-18 19:12:03 发布
阅读量2.1k 收藏
点赞数
文章标签: sql sql server .net 数据库 security byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/godmayknow/article/details/6502112
版权

.NET中访问SQL Server数据库有两种方式,一种是使用专为.NET开发的驱动程序,另一种是用SQL ServerOLEDB驱动程序(在.NET中也可以用ODBC驱动程序,不过微软不推荐)。下面分别演示。先是专为.NET开发的驱动程序。

 

// 连接数据库

using (SqlConnection connection = new SqlConnection(

    "Data Source=(local);Initial Catalog=school;Integrated Security=SSPI"))

{

    connection.Open();

 

    // 先清空数据表

    using (SqlCommand deleteCommand = connection.CreateCommand())

    {

        deleteCommand.CommandType = CommandType.Text;

        deleteCommand.CommandText = "DELETE FROM Students";

        deleteCommand.ExecuteNonQuery();

    }

 

    // 插入数据

    using (SqlCommand insertCommand = connection.CreateCommand())

    {

        insertCommand.CommandType = CommandType.Text;

        insertCommand.CommandText = "INSERT INTO Students(Id,Name,Photo) VALUES(@Id,@Name,@Photo)";

        insertCommand.Prepare();

       

        // 创建参数

        SqlParameter idParameter = insertCommand.CreateParameter();

        idParameter.ParameterName = "Id";

        idParameter.Direction = ParameterDirection.Input;

        idParameter.SqlDbType = SqlDbType.Int;

        insertCommand.Parameters.Add(idParameter);

        SqlParameter nameParameter = insertCommand.CreateParameter();

        nameParameter.ParameterName = "Name";

        nameParameter.Direction = ParameterDirection.Input;

        nameParameter.SqlDbType = SqlDbType.VarChar;

        nameParameter.Size = 10;

        insertCommand.Parameters.Add(nameParameter);

        SqlParameter photoParameter = insertCommand.CreateParameter();

        photoParameter.ParameterName = "Photo";

        photoParameter.Direction = ParameterDirection.Input;

        photoParameter.SqlDbType = SqlDbType.VarBinary;

        photoParameter.Size = -1;

        insertCommand.Parameters.Add(photoParameter);

 

        // 插入第1条记录

        idParameter.Value = 1;

        nameParameter.Value = "LiMing";

        photoParameter.Value = File.ReadAllBytes("d://1.jpg");

        insertCommand.ExecuteNonQuery();

        // 插入第2条记录

        idParameter.Value = 2;

        nameParameter.Value = "WangLing";

        photoParameter.Value = File.ReadAllBytes("d://2.jpg");

        insertCommand.ExecuteNonQuery();

    }

 

    // 查询数据

    using (SqlCommand selectCommand = connection.CreateCommand())

    {

        selectCommand.CommandType = CommandType.Text;

        selectCommand.CommandText = "SELECT Photo FROM Students WHERE Name=@Name";

        selectCommand.Prepare();

       

        // 创建参数

        SqlParameter nameParameter = selectCommand.CreateParameter();

        nameParameter.ParameterName = "Name";

        nameParameter.Direction = ParameterDirection.Input;

        nameParameter.DbType = DbType.String;

        nameParameter.Size = 10;

        selectCommand.Parameters.Add(nameParameter);

 

        // 指定参数后执行

        nameParameter.Value = "Liming";

        using (SqlDataReader reader = selectCommand.ExecuteReader())

        {

            while (reader.Read())

            {

                byte[] photo = (byte[])reader["Photo"];

                // 这里省略处理查询结果的代码

            }

        }

    }

 

}

 

godmayknow
关注
参数化SQL语句
summerlcxxh的专栏
02-09 431
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
SQL语句参数化(1)插入数据
07-04 798
WebForm1.aspx.vb  Imports ...System.Text  Public Class WebForm1Class WebForm1     Inherits System.Web.UI.Page  " Web 窗体设计器生成的代码 "Web 窗体设计器生成的代码#Region " Web 窗体设计器生成的代码 "      该调用是 Web 窗体设计器所必需的。   
SQL参数化
无限天空(Michael)
12-30 441
SqlCommand com = new SqlCommand("select * from myuser where username=@UserName and password=@Pwd", con);                        com.Parameters.Add(new SqlParameter("@UserName", UserName));      
参数化Sql数据库插入一条数据
weixin_30387799的博客
05-26 403
1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 2 3 <html xmlns="http://www.w3.org/1999/xhtml"> 4 <...
为什么要参数化执行SQL语句呢?
weixin_38170829的博客
08-18 273
C#参数化执行SQL语句,防止漏洞攻击本文以MYSQL为例【20151108非查询操作】 为什么要参数化执行SQL语句呢? 一个作用就是可以防止用户注入漏洞。 简单举个列子吧。 比如账号密码登入,如果不用参数, 写的简单点吧,就写从数据库查找到id和pw与用户输入一样的数据吧 sql:select id,pw where id='inputID' and pw='inpu...
SQL参数化查询讲座 (四)
王小鉴的专栏
07-29 1886
在ADO.NET中,查询的一般过程是创建实现IDbConnection接口的连接对象,登录到相应数据库,再创建实现IDbCommand接口的命令对象执行SQL命令或存储过程。如果SQL语句有返回结果,则可以整表的方式接收数据或以逐行推进的方式遍历各条记录。在参数化查询中,创建命令对象后,为其指定SQL语句(或存储过程),然后创建SQL语句包含的各个参数,给参数赋值后再执行命令对象。与命令对象关
SQL参数化查询讲座 (七)
王小鉴的专栏
08-04 1444
在ADO中,查询的一般过程是创建Connection对象连接数据库,再创建Command对象执行SQL语句或存储过程。如果SQL语句有返回数据,则用Recordset对象接收,然后以游标方式遍历Recordset中的每一行,读取查询结果(也可把整个Recordset保存到文件或数据流中)。在一般场合,Command对象可以省略,其职能由Connection对象和Recordset对象代替。不过如果
SQL参数化查询讲座 (十)
王小鉴的专栏
08-10 2400
由于篇幅限制,也为了使读者容易地理解参数化查询的基本用法,本文只对ADO、ADO.NET中的参数化查询作了大致介绍,没有涉及更多的细节。这里提及几个重要的概念,有兴趣的读者可查阅本文最后列出的相关资料。SQL中一个常见的特殊值就是NULL,它既不是0,也不等同于空字符串。初学数据库编程时千万别把它与VB中的Nothing、C#中Null和VC中的NULL混为一谈,更不能用字符串“NULL”作为
SQL参数化查询讲座 (三)
王小鉴的专栏
07-28 1747
参数化查询得到各种主流编程语言和开发工具的广泛支持。后续的章节我们将结合实例学习如何使用参数化查询。由于笔者水平有限,不可能掌握所有这些编程语言,只能在这里抛砖引玉,仅分别用C#和VB给出ADO.NET、ADO中参数化查询的例子。如果学习VC的同学也对数据库访问感兴趣,也可以补充ODBC方面的示例。欢迎其他老师和同学进一步说明Java、Delphi、Python等语言中的参数化查询方法。也欢迎各位
SQL优化讲座
09-10
1. **利用存储过程和参数化查询**:存储过程可以封装复杂的逻辑,参数化查询能减少解析次数,提高性能。 2. **利用索引覆盖**:设计索引时确保它包含查询所需的全部列,避免回表操作。 3. **使用适当的JOIN类型**...
大数据技术分享 Spark技术讲座 Spark SQL自适应执行大规模释放集群的力量 共24页.pdf
07-18
其中,Spark SQL是Spark生态中用于结构化数据处理的重要组件之一。为了进一步提高Spark SQL在大规模数据处理场景下的性能,Spark社区引入了一项名为“自适应执行”(Adaptive Execution)的功能。本文将详细介绍...
MySQLSQL查询性能优化技术.pptx
10-15
总结,MySQLSQL查询性能优化技术涉及广泛,包括但不限于基础准则、数据结构设计、系统监控、参数配置和动态调整等多个层面。通过综合运用这些技术,可以显著提升MySQL数据库的性能,确保系统稳定高效地运行。
亿诚测试:SQL注入攻击实战与防御讲座
最后,讲座还涉及了SQL注入攻击的防御措施,包括但不限于对用户输入的参数进行严格的验证和清理、使用参数化查询或预编译语句、以及定期更新和强化应用程序的安全防护机制。这些防御方法对于确保系统免受SQL注入威胁...
使用LLM和RAG进行数据库查询(文本到SQL)的四大挑战及解决方案
python1234_的博客
10-16 900
WrenAI是您与数据的自然语言接口WrenAI是您与数据的自然语言接口WrenAI是开源的。您可以在您的数据、LLM API和环境中的任何地方部署WrenAI。它带有直观的入门和用户界面,允许您在几分钟内连接和建模数据源中的数据模型。在WrenAI的底层,开发了一个名为“Wren Engine”的框架——LLM的语义层。Wren Engine也在GitHub上开源。
mysql学习教程,从入门到精通,SQL 约束(Constraints)(41)
qq_45746668的博客
10-12 1029
数据库设计中,约束(Constraints)用于确保数据的准确性和完整性。它们通过限制可以插入到数据库表中的数据类型来防止无效数据。SQL 中有几种常见的约束类型,包括主键约束(Primary Key)、外键约束(Foreign Key)、唯一约束(Unique)、非空约束(NOT NULL)和检查约束(CHECK)。
Flink PostgreSQL CDC源码解读:深入理解数据流同步
最新发布
击水三千里的专栏
10-18 117
PostgreSQL通过Replication Slot和Logical Decoding实现CDC,捕获数据变更并通过Debezium等工具发送到消息队列。WAL日志记录数据库操作,而Debezium支持多种部署方式,如Kafka Connect和嵌入式引擎,以实现数据流同步。Flink通过配置postgres-cdc连接器,利用Debezium获取PostgreSQL的变更数据。
应用指南 | 在IvorySQL中使用pglogical扩展模块
IvorySQL的博客
10-15 350
pglogical 是 PostgreSQL 的逻辑复制插件,专注于PostgreSQL数据库间高效复制和同步数据。它支持选择性复制特定表或数据,而非整个数据库,从而提供灵活性和低延迟的实时更新。与物理复制相比,逻辑复制能够跨不同版本的 PostgreSQL,便于版本升级和数据迁移,同时支持多源复制,将多个源数据库的数据整合到同一目标数据库。这使得 pg_logical 特别适用于负载均衡、实时数据分析、灾难恢复和数据整合等多种场景。
sql调优指南及高级sql技巧
weixin_42462436的博客
10-13 959
SQL调优和高级SQL技巧是数据库管理和开发中的重要内容,能够帮助你更高效地进行数据库查询操作并优化性能。以下内容将详细介绍SQL调优的指南、常见的优化策略,以及一些高级SQL编写技巧。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值