SqlParameter参数化查询

最新推荐文章于 2023-03-28 13:51:29 发布
最新推荐文章于 2023-03-28 13:51:29 发布
阅读量3.7k 收藏
点赞数
C# 同时被 2 个专栏收录
121 篇文章 12 订阅
订阅专栏
数据库
52 篇文章 1 订阅
订阅专栏

SqlParameter参数化查询

2013-06-24 14:30  2999人阅读  评论(27)  收藏  举报
  分类:

版权声明:本文为博主原创文章,未经博主允许不得转载。

     上篇博客写了关于重构代码用到的SQLHelper类,这个类包括四种函数,根据是否含参和是否有返回值各分两种。在这里写写传参过程用到的SqlParameter

     如果我们使用如下拼接sql字符串的方式进行数据库操作存在脚本注入的危险:

 

[vb]  view plain  copy
 print ?
  1. Dim sql As String = "insert into T_Loginlog(userID,loginDate,loginTime,computer)values('" + Enloginlog.user_userID + "','" & Enloginlog.user_loginDate & "','" & Enloginlog.user_loginTime & "','" & Enloginlog.user_computer & "')"  

为了防止SQL注入,我们采用参数化查询的方式。执行带参数的sql增删改语句或存储过程的函数如下:

[vb]  view plain  copy
 print ?
  1. ''' <summary>  
  2.    ''' 执行带参数的sql增删改语句或存储过程  
  3.    ''' </summary>  
  4.    ''' <param name="cmdtext">增删改语句或存储过程</param>  
  5.    ''' <param name="cmdtype">命令类型文本或存储过程</param>  
  6.    ''' <param name="paras">参数数组</param>  
  7.    ''' <returns>受影响的行数</returns>  
  8.    ''' <remarks></remarks>  
  9.    Public Function ExecuteNonQueryCan(ByVal cmdtext As StringByVal cmdtype As CommandType, ByVal paras As SqlParameter()) As Integer  
  10.        Dim conn = GetConn()  
  11.        Dim cmd As SqlCommand = New SqlCommand(cmdtext, conn)  
  12.        Dim res As Integer  
  13.        cmd.CommandType = cmdtype  
  14.        cmd.Parameters.AddRange(paras)  
  15.        Try  
  16.            res = cmd.ExecuteNonQuery()  
  17.        Catch ex As Exception  
  18.            MsgBox(ex.Message, , "数据库操作")  
  19.        Finally  
  20.            If conn.State = ConnectionState.Open Then  
  21.                conn.Close()  
  22.            End If  
  23.        End Try  
  24.        Return res  
  25.   
  26.    End Function  

    在这里定义了cmdtext(以sql语句为例)、cmdtypeparas,在DAL层调用sqlhelper时,只需传入相应的参数即可。其中,paras参数部分构成如下:

[vb]  view plain  copy
 print ?
  1. ''' <summary>  
  2.    ''' 定义一个函数在用户输入用户名密码正确并登录时将登录信息记录到T_Login正在值班教师表中  
  3.    ''' </summary>  
  4.    ''' <param name="Enlogin">T_Login表所对应的实体</param>  
  5.    ''' <returns></returns>  
  6.    ''' <remarks></remarks>  
  7.    Public Function InsertIntoTLogin(ByVal Enlogin As Entity.EnLogin) As Boolean  
  8.   
  9.        Enlogin.user_computer = System.Environment.MachineName  
  10.        Enlogin.user_loginDate = DateString  
  11.        Enlogin.user_loginTime = TimeOfDay  
  12.   
  13.        Dim sql As String = "insert into T_Login(userID,loginDate,loginTime,computer)values(@userID,@loginDate,@loginTime,@computer)"  
  14.        Dim paras As SqlParameter() = {New SqlParameter("@userID", Enlogin.user_userID),  
  15.                                       New SqlParameter("@loginDate", Enlogin.user_loginDate),  
  16.                                       New SqlParameter("@loginTime", Enlogin.user_loginTime),  
  17.                                       New SqlParameter("@computer", Enlogin.user_computer)}  
  18.   
  19.        Dim sh As SQLHelper = New SQLHelper  
  20.        If sh.ExecuteNonQueryCan(sql, CommandType.Text, paras) > 0 Then  
  21.            Return True  
  22.        Else  
  23.            Return False  
  24.        End If  
  25.   
  26.    End Function  

   说到底还是封装的思想,我们将可能输入有误的地方以参数的形式固定下来,通过传参很好的解决了这个问题。

3
【TL】
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
C#防SQL注入之SqlParameter参数化
Mick_小马哥
03-20 1433
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = "select * from user where username='" + username + "' and password='" + password ...
sql参数化查询SqlParameter
wangwang3ok的专栏
12-09 218
刚开始拼sql查询串的时候我是按照一般思路进行的 string sql = "select * from tabelName where Title like '%@condition%' or Icontent like '%@condition%' order by tdate desc";   但是查询不出东西,最后查阅资料发现 得这样拼 string sql = "select...
Ado.Net SQL语句参数化SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5419
Ado.Net中SQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
参数化sql命令--来自SqlHelper
weixin_34125592的博客
06-21 163
2019独角兽企业重金招聘Python工程师标准>>> ...
浅析SQL Server参数化查询
12-14
在.NET开发中,使用`SqlParameter`对象时,应明确设置`SqlDbType`和`Size`属性,确保数据库能够准确、高效地处理参数化查询。 总结来说,理解并正确使用SQL Server参数化查询是每个开发者的必备技能。它不仅能有效...
SqlServer参数化查询之where in和like实现详解
09-11
SQL Server中,参数化查询是一种优化查询性能的重要方法,尤其是在处理大量数据时。它能够防止SQL注入攻击,并且能够更好地利用数据库的查询缓存,提高执行效率。本文将详细讲解如何实现`WHERE IN`和`LIKE`操作的...
SQL Server参数化查询大数据下的实践
12-14
SQL Server参数化查询在大数据场景下是提升查询性能和确保数据安全的重要手段。在传统的编程方式中,我们常常用字符串拼接的方式构造SQL语句,比如`WHERE IN`子句,这种方式在处理少量数据时是可行的,但在面对几百...
C#SqlParameter参数写法
04-17
使用`SqlParameter`进行参数化查询是.NET开发中的一个重要概念,它有助于确保数据安全性和提高执行效率。在实际应用中,建议尽可能使用参数化查询代替拼接SQL字符串的方式,尤其是在处理用户输入的情况下。此外,...
C# 用来做数据库处理的类(Sqlhelper参数化
b1306503056的博客
08-06 334
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data; using System.Data.SqlClient; using System.Configuration; namespace DAL { publ...
VB.NET(2003) SQL Parameter
aaron的专栏
10-22 508
Private Function QueryOrder(ByVal strOrder As String, ByVal oleCon As OleDb.OleDbConnection) As Boolean Dim ds As DataSet Dim dataCount As Integer Dim da As OleDb.OleDbData...
有关SqlDbType.Decimal
赤道与北极
07-11 5004
今天在开发过程中遇到SqlDbType.Decimal类型的参数,返回值却是没有小数位的整数值,郁闷坏了。查了半天资料,原来需要指定小数位。具体书写如下:                 cmd.Parameters.Add("@Percent", SqlDbType.Decimal).Direction = ParameterDirection.Output;                cm
sqlParameter的使用------七个构造函数
baidu_40120883的博客
08-14 4565
sqlParameter对象的作用是将要用于操作数据库的数据(如根据ID查询时要用到id)以参数的形式加入到sql语句中,防止因为拼接字符串而引起的安全问题并且提高可读性。所以使用是要先创建一个sqlParameter对象,在定义时或定义后(取决于创建时调用的哪一个构造函数)将数据绑定到参数。在执行操作之前,用SQLcommand.Parameter的Add方法(单个SQLparameter对象)...
SqlParameter[] parameters
weixin_30730053的博客
03-13 153
SqlParameter[] parameters = { new SqlParameter("@rdTypeName", readertype.rdTypeName), new SqlParameter("@CanLendQty", readertype.CanLendQty), } 或是 SqlParame...
SQL参数化查询,Where语句中配置“?”
mark_jl的博客
03-28 1482
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
黑马程序员之ADO.NET学习笔记:SqlParameter(Sql参数)
blog_CSDN_xutingzhou
09-07 2280
1. 几个重要的属性          ParameterName:设置参数名      Value:给参数设置值      Size:设置参数字节最大大小(以字节为单位)      SqlDbType:参数在SQL中的类型   SqlParameter paras =new SqlParameter() {              ParameterName ="@nam
vb.net sql参数化查询空参数查询全部解决方案
arhaidai的博客
08-14 1631
最近在写一个程序,用户界面有多个查询条件,如果条件不输则不加入条件,因考虑注入安全问题,不能直接拼接字符串,必须参数化查询,网上也没有找到关于这方面的案例,自己最后想了一下,用最简单原始的方法拼接语句再判断条件添加Parameters实现了功能。
sqlserver参数化查询
最新发布
07-13
SQL Server的参数化查询是一种使用参数来代替查询语句中的具体数值或字符串的查询方式。通常情况下,我们在编写查询语句时,会使用变量来表示查询条件,然后将参数与查询语句绑定,最后执行查询。 使用参数化查询的...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值