参数化查询

最新推荐文章于 2024-03-26 10:43:23 发布
最新推荐文章于 2024-03-26 10:43:23 发布
阅读量5.7k 收藏 9
点赞数 2
分类专栏: 数据库 ASP.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hejingyuan6/article/details/8726457
版权

   众所周知,参数化查询有许多好处,例如可以防止SQL注入,提高查询效率等,那么参数化查询为什么就可以解决这些问题呢?


1,参数化查询防止SQL注入
参数化查询顾名思义就是我们写好需要的参数,然后直接给参数赋值,这就好比是一个sql的框架。sql查询的时候会进行参数分析,如果分析的结果是我们曾使用过这样的框架,那么sql会重用查询计划,否则会重新生成一个查询计划,当然此时的sql的语义肯定是发生了变化,这时我们就可以很好的防止注入的发生。
例如

         

如上的代码就是使用参数化的查询语句,尝试输入注入字符,结果当然是什么都查不到!


2,参数化查询提高查询效率

为了提高sql执行速度,请为SqlParameter参数加上SqlDbType和size属性,在参数化查询代码编写过程中很多开发者忽略了指定查询参数的类型,这将导致托管代码在执行过程中不能自动识别参数类型,进而对该字段内容进行全表扫描以确定参数类型并进行转换,消耗了不必要的查询性能所致。


例如:

传递过来的值是"username",则size值为8,"username1",则size值为9。那么,不同的size值会引发什么样的结果呢?且经测试发现,size的值不同时,会导致数据库的执行计划不会重用,这样就会每次执行sql的时候重新生成新的执行计划,而浪费数据库执行时间。


      

即,如果参数的size值不同则会重新创建一个查询计划,但是如果我们设定了他们的size值都为50,那么每次执行sql的时候就会重用查询计划,提高效率。


    以上两点的实现都提到了重用查询计划,那么什么是查询计划呢?什么时候才会重用查询计划?

    Sql Server在执行一条查询语句之前都对对它进行“编译”并生成“查询计划”,查询计划告诉Sql Server的查询引擎应该用什么方式进行工作。Sql Server会根据当前它可以收集到的各种信息(例如内存大小,索引的统计等等)把一条查询语句编译成它认为“最优”的查询计划。很显然,得到这样一个查询计划需要消耗CPU资源,而大部分的查询语句每次经过编译所得到的查询计划往往是相同的,因此除非指定了RECOMPILE选项,Sql Server在执行查询语句时,会对查询计划进行缓存——也就是说,如果是相同的查询语句,Sql Server只会对它进行一次编译操作,然后在每次执行时对查询计划进行复用。



静静~嗯嗯
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 30
    评论
专栏目录
pdo中使用参数化查询sql
10-28
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
浅析SQL Server参数化查询
12-14
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。   相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视   错误认识1.不需要防止sql注入的地方无需参数化   参数化查询是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK   错误认识2.参数化查询时是否指定参数类型、参数长度没什么区别   以前也一直都觉的加与不加参数长度
MySQL如何使用参数化查询
最新发布
长风破浪会有时的博客
03-26 396
参数化查询是一种编写数据库查询的方法,它可以帮助我们更安全地获取数据。就像是我们用一个特殊的盒子(参数)来装我们要查询的信息,然后把这个盒子交给数据库去查找。这样,数据库就只知道盒子里的内容,而不知道其他任何可能有害的信息。
基于学习的参数化查询优化方法
KaiwuDB 数据库
02-19 763
参数化查询是指具有相同模板,且只有谓词绑定参数值不同的一类查询,它们被广泛应用在现代数据库应用程序中。它们存在反复执行动作,这为其性能优化提供了契机。然而,当前许多商业数据库处理参数化查询的方法仅仅只优化查询中的第一条查询实例(或用户指定的实例),缓存其最佳计划并为后续的查询实例重用。该方法虽然优化时间至最小化,但由于不同查询实例的最佳计划不同,缓存计划的执行可能是任意次优的,这在实际应用场景中并不适用。大多数传统优化方法需对查询优化器进行许多假设,但这些假设通常不符合实际应用场景。
参数查询
su317的专栏
09-25 917
string commandText = string.Format(@/"UPDATE nf_ourself SET namemoniker=:namemoniker,descriptionhtml=:descriptionhtml,                     descriptiontext=:descriptiontext,photopath=:photopath,xuhao=:
参数化查询原理
王如霜
02-08 6290
机房重构敲组合查询时,会遇到多个操作符(+、-、*、/),因为之前在使用参数化查询时只要遇到给数据库赋值时就使用参数,(光知道这样能防止SQL注入,直到如今才知道它为什么能防止SQL注入)索性就把操作符也用成参数,但这时就报“语法错误”了,可是解决了很长时间,老以为是sql语句写错了(自我认为是那种丢掉一个空格或引号之类的错误),其实是没真正理解之前听到到“防SQL注入”的原理,或是说为什么能“防
C#与MSSQL存储过程/参数化查询
book_dw5189的博客
06-15 1947
C#与MSSQL存储过程/参数化查询
SqlServer参数化查询之where in和like实现详解
09-11
若有一天你不可避免的需要提高SQL的查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是必然进行的选择
SQLServer 参数化查询经验分享
12-15
什么是参数化查询? 一个简单理解参数化查询的方式是把它看做只是一个T-SQL查询,它接受控制这个查询返回什么的参数。通过使用不同的参数,一个参数化查询返回不同的结果。要获得一个参数化查询,你需要以一种特定的...
使用 Morphia 和 MongoDB 实现持久化
何静媛
03-18 6036
直接来一个简单的demo:新建一个maven java project(maven-archetype-quickstart):DBHelper:package com.mongo.dao; import com.mongodb.Mongo; import com.mongodb.MongoClient; import org.mongodb.morphia.Datastore; import
MongoDB 初识(一)
何静媛
03-11 3431
第一步:下载MongoDBMongoDB官方网站,根据自己的操作系统进行选择适应的版本即可。第二步:新建目录“D:\MongoDB\bin”,解压下载到的安装包,找到bin目录下面全部.exe文件,拷贝到刚创建的目录下第三步:在“D:\MongoDB”目录下新建“data\db”文件夹,它将会作为数据存放的根文件夹第四步:在“D:\MongoDB”目录下新建“data\log”文件夹,它将会作为日
Select—没你想的那么复杂
何静媛
06-12 3248
Select语句的基本结构如下:                      Select  [All | Distinct]  select_list                          [Into [new_table-name]]                         Form {table_name | view_name}
vb与数据库
何静媛
06-19 2716
Vb与数据库的连接主要应用了ADO,它是一个用于存取数据源的COM组件。它提供了编程语言和 统一数据访问方式OLE DB的一个中间层。允许开发人员编写访问数据的代码而不用关心数据库是如何 实现的,而只用关心到数据库的连接。        OLE DB是一种低层的编程接口,ADO应用OLE DB可以实现对不同类型数据库的访问,它支持关 系或非关系型的数据源,比如各种类型的数据库,电子表格,电
python参数化查询
06-11
Python参数化查询是一种安全的数据库查询方式,可以防止SQL注入攻击。参数化查询方式是将SQL语句和需要查询的参数分开处理,避免了将用户输入的参数和SQL语句混合拼接的情况,从而保证了查询的安全性。 在Python中,使用参数化查询可以通过数据库连接对象的 `execute()` 方法实现。例如,在使用MySQL数据库时,可以使用下面的方式来实现参数化查询: ``` import mysql.connector # 连接数据库 db = mysql.connector.connect( host="localhost", user="username", password="password", database="mydatabase" ) # 获取游标 cursor = db.cursor() # 定义参数化查询语句 sql = "SELECT * FROM customers WHERE address = %s" # 定义查询参数 adr = ("Park Lane 38", ) # 执行查询 cursor.execute(sql, adr) # 获取查询结果 result = cursor.fetchall() # 输出查询结果 for row in result: print(row) ``` 在上面的代码中,参数化查询语句 `SELECT * FROM customers WHERE address = %s` 中的 `%s` 表示一个占位符,用于接收查询参数。在执行 `cursor.execute(sql, adr)` 时,会将查询参数 `adr` 传递给SQL语句中的占位符 `%s`。这样,即使查询参数中包含恶意代码也不会对查询造成影响,从而保证了查询的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 30
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值