SqlParameter的作用与用法

最新推荐文章于 2020-08-02 21:50:01 发布
最新推荐文章于 2020-08-02 21:50:01 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: C# 文章标签: exception byte security string sql dataset
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hwt0101/article/details/8038472
版权 
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。
 


string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter

SqlConnection conn = new SqlConnection();

conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";//连接字符串与数据库有关

SqlCommand cmd = new SqlCommand(sql, conn);

try

{

    conn.Open();

    return(cmd.ExecuteNonQuery());

}

catch (Exception)

{

    return -1;

    throw;

}

finally

{

    conn.Close();

} 


上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。
 
一、Add方法
 


SqlParameter sp = new SqlParameter("@name", "Pudding");

cmd.Parameters.Add(sp);

sp = new SqlParameter("@ID", "1");

cmd.Parameters.Add(sp); 


  该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。
 
二、AddRange方法
 


SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name", "Pudding"), new SqlParameter("@ID", "1") };

cmd.Parameters.AddRange(paras); 


  显然,Add方法在添加多个SqlParameter时不方便,此时,可以采用AddRange方法。
 
  下面是通过SqlParameter向数据库存储及读取图片的代码。
 


public int SavePhoto(string photourl)

{

    FileStream fs = new FileStream(photourl, FileMode.Open, FileAccess.Read);//创建FileStream对象,用于向BinaryReader写入字节数据流

    BinaryReader br = new BinaryReader(fs);//创建BinaryReader对象,用于写入下面的byte数组

    byte[] photo = br.ReadBytes((int)fs.Length); //新建byte数组,写入br中的数据

    br.Close();//记得要关闭br

    fs.Close();//还有fs

    string sql = "update Table1 set photo = @photo where ID = '0'";

    SqlConnection conn = new SqlConnection();

    conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";

    SqlCommand cmd = new SqlCommand(sql, conn);

    SqlParameter sp = new SqlParameter("@photo", photo);

    cmd.Parameters.Add(sp);

    try

    {

        conn.Open();

        return (cmd.ExecuteNonQuery());

    }

    catch (Exception)

    {

        return -1;

        throw;

    }

    finally

    {

        conn.Close();

    }

}

 

public void ReadPhoto(string url)

    {

        string sql = "select photo from Table1 where ID = '0'";

        SqlConnection conn = new SqlConnection();

        conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";

        SqlCommand cmd = new SqlCommand(sql, conn);

        try

        {

            conn.Open();

            SqlDataReader reader = cmd.ExecuteReader();//采用SqlDataReader的方法来读取数据

            if (reader.Read())

            {

                byte[] photo = reader[0] as byte[];//将第0列的数据写入byte数组

                FileStream fs = new FileStream(url,FileMode.CreateNew);创建FileStream对象,用于写入字节数据流

                fs.Write(photo,0,photo.Length);//将byte数组中的数据写入fs

                fs.Close();//关闭fs

            }

            reader.Close();//关闭reader

        }

        catch (Exception ex)

        {

            throw;

        }

        finally

        {

            conn.Close();

        }

    }

}
 
 技术交流群:29609188

最数据
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
C#中SqlParameter作用用法
weixin_42324029的博客
07-18 1345
在c#中执行sql语句时传递参数的小经验 1、直接写入法: 例如: int Id =1; string Name="lui"; cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')"; 因...
C# 中SqlParameter类的使用方法小结
阳光岛主
08-06 3万+
 C# 中SqlParameter类的使用方法小结在c#中执行sql语句时传递参数的小经验 1、直接写入法:      例如:             int Id =1;             string Name="lui";             cmd.CommandText="insert into TUserLogin values("+Id+","
C# SqlParameter 使用
weixin_30235225的博客
12-19 380
//System.Data.SqlClient.SqlParameter[] sqlParameters = new System.Data.SqlClient.SqlParameter[]{ }; System.Data.SqlClient.SqlParameter[] sqlParameters = new System.Data.SqlClient....
详解C#中SqlParameter作用用法
08-31
本篇文章主要介绍了C#中SqlParameter作用用法,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作。
C# 中用 Sqlparameter 的两种用法
08-27
主要介绍了C# 中用 Sqlparameter 的几种用法,文中给大家列举了两种用法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
C#——SqlParameter的使用方法及注意事项
知北行的博客
02-19 6225
SqlParameter可以防止sql注入问题,这里记录下使用方法及代码。 1.封装的sqlHelper类中的数据库操作方法(部分代码,具体可参见.net 使用SQLconnection连接数据库及SQL帮助类) //这里要填入你的数据库连接字符串 private static string connectionString = "*************************"; ...
SqlParameter的简单应用实现[C#]
04-24
防止SQL注入最常用的方法就是用变量SqlParameter,但是初学者可能会以为很难,其实很简单的,此例子是一个简单应用实现[C#],初学者可以看看
C#防SQL注入之SqlParameter参数化
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = select * from user where username=' + username + ' and password=' + password + '; 所以我们必须丢弃上面这种方式,使用SqlParameter进行参数化,这样才能提升代码健壮性 SqlCommand cmd = new SqlCommand(); cmd.Comman
C#SqlParameter的基本用法和好处
weixin_30532369的博客
08-05 209
今天在看到朋友说起数据库sql注入问题说得比较复杂,就写了一个简单的列子供大家参考:   SqlConnection con = new SqlConnection(mySql); //用SqlParameter可以防止Sql注入和一些二进制流的问题(如图片) //SqlPa...
C# SqlParameter 实例
烈鹰
08-02 258
添加单个参数: string conStr = ConfigurationManager.ConnectionStrings["DBConn"].ToString(); SqlConnection conn = new SqlConnection(conStr); conn.Open(); string cmdText = "SELECT * FROM TEST WHERE Para=@Para"; SqlCommand cmd = new SqlCommand(cmdText, conn); //添加
C# 中用 Sqlparameter 的几种用法
weixin_30401605的博客
09-02 1188
新建一个表: create table abc ( id int IDENTITY(1,1) NOT NULL, name nvarchar(100) , sex nvarchar(10) ) insert into abc values(‘asf’,'男') insert into abc values(‘ai’,'女') 创建表格完成。 新建一个...
C#中sqlparameter用法
wonglou的专栏
04-06 1377
<br />在c#中执行sql语句时传递参数的小经验<br /> 1、直接写入法:<br />      例如:<br />             int Id =1;<br />             string Name="lui";<br />             cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')";<br />        因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"
FileSystemWatcher用法详解
热门推荐
最数据的专栏
01-05 3万+
FileSystemWatcher控件主要功能: 监控指定文件或目录的文件的创建、删除、改动、重命名等活动。可以动态地定义需要监控的文件类型及文件属性改动的类型。 1.常用的几个基本属性: (1) Path :设置要监视的目录的路径。 (2) IncludeSubdirectories :设置是否级联监视指定路径中的子目录。 (3) Filter :设置筛选字符串,用
SqlParameter用法
最新发布
06-02
下面是SqlParameter用法示例: 1. 定义SqlParameter对象 ``` SqlParameter param = new SqlParameter(); ``` 2. 设置SqlParameter的属性 ``` param.ParameterName = "@paramName"; // 参数名称 param.Value = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值