SqlParameter的使用

最新推荐文章于 2022-10-12 13:38:26 发布
VIP文章 最新推荐文章于 2022-10-12 13:38:26 发布
阅读量1.1k 收藏 12
点赞数 2
分类专栏: 机房重构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hsm_Jasmine/article/details/103339498
版权

前言

       今天我在理三层逻辑的时候,看到了SqlParameter。因为头一次看到不太懂,所以上百度大致了解了一番。

SqlParameter是什么

       表示SqlCommand的参数,以及可选的到DataSet列的映射。这个类不能被继承。(SqlCommand:表示要针对SQL Server数据库执行的Transact-SQL语句或存储过程。这个类不能被继承。DataSet:表示内存中的数据缓存。)

SqlParameter的作用

       sqlParameter对象的作用是将要用于操作数据库的数据(如根据ID查询时要用到id)以参数的形式加入到sql语句中,防止因为拼接字符串而引起的安全问题,并且提高可读性。 一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。   如下代码,就存在安全性问题:

string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter   
SqlConnection conn = new SqlConnection();   
conn.ConnectionString = "Data Source=数据库连接部分";//连接字符串与数据库有关   
SqlCommand cmd = new SqlCommand
最低0.47元/天 解锁文章
华淑敏
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 18
    评论
专栏目录
详解C#中SqlParameter的作用与用法
08-31
本篇文章主要介绍了C#中SqlParameter的作用与用法,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作。
Ado.Net SQL语句参数化(SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5266
Ado.Net中SQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
关于sqlserver中SqlParameter的用法注意事项
人生在手
10-12 930
关于sqlserver中SqlParameter的用法注意事项
C#——SqlParameter使用方法及注意事项
知北行的博客
02-19 6123
SqlParameter可以防止sql注入问题,这里记录下使用方法及代码。 1.封装的sqlHelper类中的数据库操作方法(部分代码,具体可参见.net 使用SQLconnection连接数据库及SQL帮助类) //这里要填入你的数据库连接字符串 private static string connectionString = "*************************"; ...
SqlParameter的参数应用
学过印刷包装工程研究过食品科学且会点计算机编程的多功能码农
10-17 2678
【方法一】 SqlParameter[] prams =//创建参数数组                               {                                 new SqlParameter("@id", SqlDbType.VarChar, 8),                                 new SqlParameter
SqlParameter的用法
weixin_34034670的博客
06-19 387
关于Sql注入的基本概念,相信不需多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的话,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用使用drop命令,那么可能你的整个数据库得全线崩溃。 当然,现在重点不是讲sql注入的害处,而是说说如何最大限度的避免注入...
SqlParameter使用
weixin_30929295的博客
10-13 288
调用方法一般有如下两种: 一、Add方法 SqlParameter sp = new SqlParameter("@name", "Pudding"); cmd.Parameters.Add(sp); sp = new SqlParameter("@ID", "1"); cmd.Parameters.Add(sp); 该方法每次只能添加一个SqlParameter。上述代码的功...
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
C# 中用 Sqlparameter 的两种用法
08-27
主要介绍了C# 中用 Sqlparameter 的几种用法,文中给大家列举了两种用法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
C#中SqlParameter使用方法小结.doc
09-27
C#中SqlParameter使用方法小结.doc
C# 中SqlParameter类的使用方法小结
热门推荐
阳光岛主
08-06 3万+
 C# 中SqlParameter类的使用方法小结在c#中执行sql语句时传递参数的小经验 1、直接写入法:      例如:             int Id =1;             string Name="lui";             cmd.CommandText="insert into TUserLogin values("+Id+","
SqlHelper:带sqlParameter,对sql server增、册、查、改的公用方法
david专栏
03-20 591
SqlHelper:带sqlParameter,对sql server增、册、查、改的公用方法 2011-10-13 14:58:54     我来说两句       收藏    我要投稿 using System.Data;  using System.Data.SqlCient;            #region ###jonse          //共
SqlParameter[] 数组 sql语句中参数的填充的通用访问类的使用方法
cuibaoming的博客
01-19 768
//1.定义通用访问类的方法 public static SqlDataReader GetReader(string sql,SqlParameter [] para) { //实例化conn SqlConnection conn = new SqlConnection(connString); //实例化cmd SqlCommand cmd = new SqlCommand(sql, conn); try { conn.Open(); //把参数数组添加到Command对象中 cmd.Parameter
使用SQLParameter解决SQL注入问题
qq_41609957的博客
08-13 1542
SQL注入 我们在编写sql语句的时候,常会这样来验证账号密码 string sql=$"select *from UserLogin where LoginId={User.LoginId} and LoginPwd='{User.LoginPwd}'"; sql注入可以利用传递特定参数来完成登录 例如,此时账号User.Login=1001,密码User.LoginPwd=zy123...
骆驼(Camel)命名法、帕斯卡(Pascal)命名法、匈牙利命名法
华淑敏的博客
01-16 6939
前言 之前看过这三种命名法的区别,但是记得并不是特别清楚,最近在写文档,正好自己做一下总结来加深印象。 一、骆驼(Camel)命名法 首个单词的首字母小写,之后单词的首字母都大写,也就是驼峰式命名法里面的小驼峰式命名规则,如:selectStudentInfo(); 二、帕斯卡(Pascal)命名法 与骆驼命名法类似,不过帕斯卡命名法是首字母大写,也就是驼峰式命名法里面...
sqlparameter
最新发布
08-09
SQLParameter 是一个用于在 SQL 查询或存储过程中传递参数的对象。它被广泛用于防止 SQL 注入攻击和提高查询性能。 使用 SQLParameter 可以将参数值传递给 SQL 查询或存储过程,而不是直接将值嵌入到查询字符串中。这样可以确保输入的值被正确解析,同时避免了潜在的安全风险。 下面是一个使用 SQLParameter 的示例: ``` string queryString = "SELECT * FROM Customers WHERE Country = @Country"; using (SqlConnection connection = new SqlConnection(connectionString)) { SqlCommand command = new SqlCommand(queryString, connection); command.Parameters.AddWithValue("@Country", "USA"); // 执行查询或其他操作 // ... } ``` 在这个示例中,我们创建了一个带有参数的 SQL 查询。@Country 是一个参数占位符,它将在执行查询时被实际的参数值替代。通过使用 `command.Parameters.AddWithValue` 方法,我们将参数值设置为 "USA"。 使用 SQLParameter 的好处包括: - 避免了 SQL 注入攻击,因为参数值不会被直接嵌入到查询字符串中。 - 提高了查询性能,因为数据库可以缓存已编译的查询计划,而不必为每个不同的参数值生成新的计划。 希望这个解答对你有帮助!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 18
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值