在ADO.NET中使用参数化SQL语句的大同小异

最新推荐文章于 2018-12-21 18:00:00 发布
最新推荐文章于 2018-12-21 18:00:00 发布
阅读量100 收藏
点赞数
文章标签: 数据库 ui

在ADO.NET中经常需要跟各种数据库打交道,在不实用存储过程的情况下,使用参数化SQL语句一定程度上可以防止SQL注入,同时对一些较难赋值的字段(如在SQL Server中Image字段,在Oracle中Clob字段等)使用参数化SQL语句很容易就能赋值,所以本人经常在ADO.NET中使用参数化SQL语句,近几年来陆续跟SQL Server/Oracle/MySQL/Access打交道,积累了一些心得,现在整理出来供大家参考。

我们假设数据可的结构如下图(设置的数据库为Oracle10g):

它在SQL Server中的创建语句是:

create table S_Admin(
UserName varchar ( 60 ) not null ,
Password varchar ( 60 ) not null ,
Remark varchar ( 50 ) null ,
Mail varchar ( 120 ) not null ,
AddDate datetime null default GETDATE (),
LoginDate datetime null default GETDATE (),
LoginIP varchar ( 50 ) null ,
Active smallint null default 1 ,
LoginCount int null default 1 ,
 Power int null default 0 ,
Departid int null default 0 ,
 constraint PK_S_ADMIN primary key nonclustered (UserId)
)
 go

下面假设数据库的主键都采用了数据库的本地化技术解决了(例如在Access、SQL Server和MySQL中采用自增字段,在Oracle中使用了sequence结合触发器),假如在Oracle中向表中插入一记录的代码如下:
using System;
 using System.Data;
 using System.Configuration;
 using System.Web;
 using System.Web.Security;
 using System.Web.UI;
 using System.Web.UI.WebControls;
 using System.Web.UI.WebControls.WebParts;
 using System.Web.UI.HtmlControls;
 using System.Data.OracleClient;

 /// <summary>
/// 在Oracle中使用参数化SQL的例子
 /// 代码编写:周公
 /// 日期:2008-3-19
 /// 发表网址:http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
/// </summary>
public class OracleUtil
{
 public OracleUtil()
{

}

 public bool InsertAdmin( string userName, string password, string remark, string mail, int departId, int power)
{
 string sql = " insertintoS_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(:UserName,:Password,:Remark,:Mail,:DepartId,:Power) " ;
OracleConnectionconnection = new OracleConnection();
connection.ConnectionString = "" ; // 此处设置链接字符串
OracleCommandcommand = new OracleCommand(sql,connection);
command.Parameters.Add( " :UserName " ,OracleType.NVarChar, 60 ).Value = userName;
command.Parameters.Add( " :Password " ,OracleType.NVarChar, 60 ).Value = password;
command.Parameters.Add( " :Remark " ,OracleType.NVarChar, 60 ).Value = remark;
command.Parameters.Add( " :Mail " ,OracleType.NVarChar, 60 ).Value = mail;
command.Parameters.Add( " :DepartId " ,OracleType.Int32, 4 ).Value = departId;
command.Parameters.Add( " :Power " ,OracleType.Int32, 4 ).Value = power;
connection.Open();
 int rowsAffected = command.ExecuteNonQuery();
connection.Close();
command.Dispose();
 return rowsAffected > 0 ;
}
}
在MySQL中增加同样一条记录的代码如下(需要到MySQL官方网站下载.net驱动程序):
using System;
 using System.Data;
 using System.Configuration;
 using System.Web;
 using System.Web.Security;
 using System.Web.UI;
 using System.Web.UI.WebControls;
 using System.Web.UI.WebControls.WebParts;
 using System.Web.UI.HtmlControls;
 using MySql.Data;
 using MySql.Data.MySqlClient;

 /// <summary>
/// 在MySQL中使用参数化SQL的例子
 /// 代码编写:周公
 /// 日期:2008-3-19
 /// 发表网址: http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
/// </summary>
public class MySqlUtil
{
 public MySqlUtil()
{

}

 public bool InsertAdmin( string userName, string password, string remark, string mail, int departId, int power)
{
 string sql = " insertintoS_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(?UserName,?Password,?Remark,?Mail,?DepartId,?Power) " ;
MySqlConnectionconnection = new MySqlConnection();
connection.ConnectionString = "" ; // 此处设置链接字符串
MySqlCommandcommand = new MySqlCommand(sql,connection);
command.Parameters.Add( "? UserName " ,MySqlDbType.VarChar, 60 ).Value = userName;
command.Parameters.Add( "? Password " ,MySqlDbType.VarChar, 60 ).Value = password;
command.Parameters.Add( "? Remark " ,MySqlDbType.VarChar, 60 ).Value = remark;
command.Parameters.Add( "? Mail " ,MySqlDbType.VarChar, 60 ).Value = mail;
command.Parameters.Add( "? DepartId " ,MySqlDbType.Int32, 4 ).Value = departId;
command.Parameters.Add( "? Power " ,MySqlDbType.Int32, 4 ).Value = power;
connection.Open();
 int rowsAffected = command.ExecuteNonQuery();
connection.Close();
command.Dispose();
 return rowsAffected > 0 ;
}
}
在SQL Server中增加同样一条记录的代码如下:
using System;
 using System.Data;
 using System.Data.SqlClient;
 using System.Configuration;
 using System.Web;
 using System.Web.Security;
 using System.Web.UI;
 using System.Web.UI.WebControls;
 using System.Web.UI.WebControls.WebParts;
 using System.Web.UI.HtmlControls;

 /// <summary>
/// 在SQLServer中使用参数化SQL的例子
 /// 代码编写:周公
 /// 日期:2008-3-19
 /// 发表网址:http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
/// </summary>
public class SqlUtil
{
 public SqlUtil()
{

}

 public bool InsertAdmin( string userName, string password, string remark, string mail, int departId, int power)
{
 string sql = " insertintoS_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Remark,@Mail,@DepartId,@Power) " ;
SqlConnectionconnection = new SqlConnection();
connection.ConnectionString = "" ; // 此处设置链接字符串
SqlCommandcommand = new SqlCommand(sql,connection);
command.Parameters.Add( " @UserName " ,SqlDbType.NVarChar, 60 ).Value = userName;
command.Parameters.Add( " @Password " ,SqlDbType.NVarChar, 60 ).Value = password;
command.Parameters.Add( " @Remark " ,SqlDbType.NVarChar, 60 ).Value = remark;
command.Parameters.Add( " @Mail " ,SqlDbType.NVarChar, 60 ).Value = mail;
command.Parameters.Add( " @DepartId " ,SqlDbType.Int, 4 ).Value = departId;
command.Parameters.Add( " @Power " ,SqlDbType.Int, 4 ).Value = power;
connection.Open();
 int rowsAffected = command.ExecuteNonQuery();
connection.Close();
command.Dispose();
 return rowsAffected > 0 ;
}
}
在Access中增加同样一条记录的代码如下:
using System;
 using System.Data;
 using System.Configuration;
 using System.Web;
 using System.Web.Security;
 using System.Web.UI;
 using System.Web.UI.WebControls;
 using System.Web.UI.WebControls.WebParts;
 using System.Web.UI.HtmlControls;
 using System.Data.OleDb;

 /// <summary>
/// 在Access中使用参数化SQL的例子
 /// 代码编写:周公
 /// 日期:2008-3-19
 /// 发表网址: http://blog.csdn.net/zhoufoxcn/archive/2008/03/19/2195618.aspx
/// </summary>
public class AccessUtil
{
 public AccessUtil()
{

}

 public bool InsertAdmin( string userName, string password, string remark, string mail, int departId, int power)
{
 string sql = " insertintoS_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(?,?,?,?,?,?) " ;
OleDbConnectionconnection = new OleDbConnection();
connection.ConnectionString = "" ; // 此处设置链接字符串
 // 注意下面参数的顺序一定要按照sql语句中的插入的列的顺序赋值,否则一定会报异常
OleDbCommandcommand = new OleDbCommand(sql,connection);
command.Parameters.Add( " ? " ,OleDbType.LongVarWChar, 60 ).Value = userName;
command.Parameters.Add( " ? " ,OleDbType.LongVarWChar, 60 ).Value = password;
command.Parameters.Add( " ? " ,OleDbType.LongVarWChar, 60 ).Value = remark;
command.Parameters.Add( " ? " ,OleDbType.LongVarWChar, 60 ).Value = mail;
command.Parameters.Add( " ? " ,OleDbType.Integer, 4 ).Value = departId;
command.Parameters.Add( " ? " ,OleDbType.Integer, 4 ).Value = power;
connection.Open();
 int rowsAffected = command.ExecuteNonQuery();
connection.Close();
command.Dispose();
 return rowsAffected > 0 ;
}
}
需要说明的是,除了Access之外,操作其它数据库可以不必要按照参数在SQL语句中出现的顺序添加进去一样可以正确执行,但是在Access中一定按照插入的列的顺序添加参数,因为“OLE DB.NET Framework 数据提供程序使用标有问号 (?) 的定位参数,而不使用命名参数(MSDN)”,所以给添加参数和赋值一定要按照列的顺序。

通过上面的例子,基本上可以总结出一个规律:在参数化SQL中参数名的格式跟其在存储过程中生命存储过程参数一致,例如在Oracle中存储过程参数一律以”:”开头,在MS SQL Server中存储过程参数一律以”@”开头,而在MySQL中存储过程(MySQL5.0以后版本支持存储过程)参数一律以“?”开头,所以在参数化SQL语句中参数名有些不一样(记得在csdn上有朋友提到过不知道为什么MySQL中参数化SQL语句中要用“?而不是和SQL Server一样使用”@”),如果那位朋友看过本文,我想他就会解开这个疑虑了。

iteye_6637
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ado.net操作oracle简单参数化sql操作
11-23
关于ado.net简单的参数化查询,操作的是oracle数据库!关于ado.net简单的参数化查询,操作的是oracle数据库
ADO.NETSQLServer数据库连接池
02-21
为了使打开的连接成本最低,ADO.NET使用称为连接池的优化方法。连接池减少新连接需要打开的次数。池进程保持物理连接的所有权。通过为每个给定的连接配置保留一组活动连接来管理连接。只要用户在连接上调用Open,池...
ADO.NET参数化查询缩短开发时间
sinodier的专栏
09-13 376
一段时间以来,存储过程一直是企业应用程序开发数据访问的首选方法。存储过程的安全性更高、封装能力更强,并能执行复杂的逻辑,且不会打乱应用程序代码。但是,它也存在一些缺点: • 开发者倾向于在存储过程加入商业逻辑。 • 更改过程时必须改变开发环境。 • 查找过程所需的参数比较费时。 • 许多时候,存储过程提供的功能超出所需。   嵌入到应用程序代码的内联SQL代码是数据访问的另
SQL Server 2008 R2——VC++ ADO 操作 参数化查询
u011300819的博客
05-24 832
使用到的TESTHR函数,并非本人所写,摘自文版chm格式的《microsoft ado 2.5 程序员参考》。 1 inline void TESTHR(HRESULT x) {if FAILED(x) _com_issue_error(x);} ================================================================
ADO.NET使用带参数方法实现添加、删除和修改数据
weixin_34007879的博客
07-12 202
我们分析前面的插入、删除和更新操作,发现许多代码是重复的,这不符合代码重用和简洁的标准。下面在窗体创建一个专门连接数据库的方法,将重复代码封装,实现代码重用。         //创建一个方法,执行数据库通用操作        private void GetData(string sql)        {            //创建Connection对象            str...
ADO.NET命令参数(SqlParameter)使用示例
05-25
ADO.NET,SqlCommand对象用于执行SQL命令,而SqlParameter对象则是SqlCommand的一部分,用来传递参数化查询的参数。参数化查询不仅提高了代码的可读性和安全性,还能防止SQL注入攻击。下面我们将深入探讨...
C#ADO.NET如何在要执行的sql语句使用变量
07-21
C#ADO.NET 使用变量在 SQL 语句的实现方法 C#ADO.NET 如何在要执行的 SQL 语句使用变量是非常重要的,因为它可以提高代码的安全性和可维护性。下面我们将详细介绍如何在 C#ADO.NET 使用变量在 SQL 语句...
ADO.NET异步SQL调用
04-07
ADO.NET异步SQL调用是.NET框架一个关键特性,特别是在处理大数据量或者长时间运行的数据库操作时,能够显著提高应用程序的响应性。通过异步调用,主线程可以继续执行其他任务,而不是等待SQL查询完成,从而提升了...
ADO.NET和ORACLE操作数据库传参数赋值的方式
weixin_30480651的博客
05-08 212
使用.Net使用OracleParameter进行Oracle数据库操作的时候,因为Oracle和SQLServer针对查询参数化的语法不同, 在操作SQLServer的时候使用的是@ParameterName,        而Oracle使用的是:ParameterName 而且sql伪语句也有相应的变化,对比一下sqlserver和oracle的区别: String sql ...
SQLin参数化的用法
05-06
SQLin参数化的用法,用三种方法,详见http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein
简述ADO如何使用参数化的命令对象以及增删改查,存储过程的操作
weixin_30266885的博客
12-21 245
连接数据库代码: private SqlConnection con = null; public void OpenConnection(string connectionString) { con = new SqlConnection(); con.ConnectionString = conn...
使用ADO.NET执行带参数的Sql语句
Economic_shark的博客
09-04 8381
不带参数的SQL语句重载通用Update方法 /// <summary> /// 执行增、删、改 (带参数的SQL语句) /// </summary> /// <param name="sql"></param> /// <param name="parameter"></param> /// <returns></r
ADO.NET- 批量添加数据的几种实现方法比较
weixin_30764137的博客
10-20 266
在.Net经常会遇到批量添加数据,如将Excel的数据导入数据库,直接在DataGridView控件添加数据再保存到数据库等等。 方法一:一条一条循环添加 通常我们的第一反应是采用for或foreach循环一条一条的添加。这样的方法可想而知,效率肯定很低,可以慢到操作人员无法接受的那种。经过测试(局域网),1W条数据将会耗时3分42秒842毫秒 for (int i = 0; i ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值