SqlParamter用法

最新推荐文章于 2022-10-12 13:38:26 发布
最新推荐文章于 2022-10-12 13:38:26 发布
阅读量2.7k 收藏
点赞数 2
分类专栏: VB.NET
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liutengteng130/article/details/8618737
版权

    这几天在Sql命令中嵌入变量,用SqlParameter数组传值,代码如下:

 ''' <summary>
    ''' 增加卡信息函数
    ''' </summary>
    ''' <param name="card">实体类</param>
    ''' <returns>返回Boolean类型,是否添加成功</returns>
    ''' <remarks></remarks>
    Public Function AddCard(card As CardEntity) As Boolean Implements ICard.AddCard

        Dim strSQL As String   'Sql字符串
        Dim i As Integer    '受影响的行数
        Dim Addresult As Boolean


        '参数集合
        Dim param As SqlParameter()
        param = New SqlParameter() {
                                    New SqlParameter("@strstudentID", card.studentID),
                                    New SqlParameter("@strcardNo", card.cardNo),
                                   New SqlParameter("@strcardCash", card.cardCash),
                                   New SqlParameter("@strhandlers", card.handlers),
                                   New SqlParameter("@strstate", card.state),
                                   New SqlParameter("@strisCheck", card.isCheck),
                                   New SqlParameter("@strcardDate", card.cardDate),
                                    New SqlParameter("@strcardTime", card.cardTime)
                                   }

        '增加数据语句
        strSQL = "insert into T_Card(studentID,cardNo,cardCash,handlers,state,isCheck,cardDate,cardTime)" & "values(@strstudentID,@strcardNo,@strcardCash,@strhandlers,@strstate,@strisCheck,@strcardDate,@strcardTime)"


        '用Sqlhelper类

        i = SqlHelper.DBSqlhelper.ExccuteNoQuery(strSQL, CommandType.Text, param)

        If i > 0 Then
            Addresult = True
        End If

        Return Addresult
    End Function

    运行了半天死活不行,仔细看一下提示:位置0处没有任何行



调试了一下,发现SQL语句写的参数不对应,修改好了,又出现问题了。

      

提示:参数化查询,未提供该参数



    

    经查询是没有给参数赋值。从这也证明了Sqlparameter的参数集合中的参数必须要都写上才能执行。证明了Sqlparameter的防注入,很好用,只要一个参数集合就可以把所有参数传递进去。


    在U层给实体赋值:

        '卡实体赋值
        Dim card As New Entity.CardEntity
        card.cardNo = txtCardno.Text
        card.cardCash = txtCash.Text
        card.state = txtState.Text
        card.studentID = txtStudentID.Text
        card.handlers = "Liu"
        card.isCheck = "未结账"
        card.cardDate = Now
        card.cardTime = Now


    总结:SqlParameter给我们提供了一个很好的类,有了它,我们可以不现拼接字符串,也可以不再担心单引号带来的惨剧,这样可以最大限度的避免注入问题。sql注入存在的最大危害是sql的执行语句没有和控制语句分开,我们想要select一些东西,但用户可能拼出 'or 1=1甚至再加上控制语句,所以要避免sql的注入,就必须把查询的语句与控制语句分开。Sqlparameter给我们提供了方便。
_Emily
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
jfinal学习:Enjoy Sql->#para需要注意的事
Adela0916的博客
07-19 844
#para 指令所到之处永远是生成一个问号占位符,并不是参数的值,参数值被生成在了SqlPara对象的paraList属性之中,通过sqlPara.getPara()可获取。如果想生成参数值用一下模板输出指令即可:#(value) ...
SqlParameter的使用
华淑敏的博客
12-02 1174
前言 今天我在理三层逻辑的时候,看到了SqlParameter。因为头一次看到不太懂,所以上百度大致了解了一番。 SqlParameter是什么 表示SqlCommand的参数,以及可选的到DataSet列的映射。这个类不能被继承。(SqlCommand:表示要针对SQL Server数据库执行的Transact-SQL语句或存储过程。这个类不能被继承。DataS...
jfinal sql管理与动态生成上(十五)
极客on之路
07-26 3663
本节学习目标主要是使用JFinal中自带的Template Engin来实现对sql的管理。JFinal中为sql管理提供了3个指令#sql、#para、#namespace,来增强sql功能。 一、兵马未动,粮草先行 1、预定义sql模板 使用#sql指令和#end指令可以完成对sql模板的定义。#sql指令接收一个string类型的参数,用来作为该sql的唯一标识。下面我们来一起写...
Ado.Net SQL语句参数化(SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5386
Ado.Net中SQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
java sql占位符_在java中直接拼接SQL,请问要用什么当占位符呢?SqlPara要怎么用呢?【已解決】...
weixin_28756005的博客
02-12 548
--数据库命字段名不规范,历史遗留物。迟点再改。SELECT*FROMstockWHERE(stock.changjiaLIKE'%冷板%'ORstock.pinzhongLIKE'%冷板%'ORstock.guigeLIKE'%冷板%'ORstock.caizhiLIKE'%冷板%'ORstock.bianhaoLIKE'%冷板%'ORstock.zhonglia...
parameter server介绍
liangwqi的博客
10-24 6272
1. Parameter Server介绍 参数服务器是一个编程框架,用于方便分布式并行程序的编写,其中重点在于对大规模参数的分布式存储和协同的支持。 机器学习系统相比于其他系统而言,有一些自己的独特特点。例如: 迭代性:模型的更新并非一次完成,需要循环迭代多次 容错性:即使在每个循环中产生一些错误,模型最终仍能收敛 参数收敛的非均匀性:有些参数几轮迭代就会收敛,而有的参数却需要上百轮迭...
.net防止Sql注入之SqlParameter参数详解
weixin_34293059的博客
06-04 378
C# publicSqlParameter( stringparameterName, SqlDbTypedbType, intsize, ParameterDirectiondirection, byteprecision, bytescale, stringsourceColumn, DataRowVersionsourceVersion, bools...
SqlParameter的用法
qq_34573534的博客
07-09 7128
我有个数据访问层的类DBHelper,里面有个方法RunSQLReturnDT,用来执行sql语句,并返回DataTable。在业务逻辑层,我调用DBHelper.RunSQLReturnDT(sql).而我想在业务逻辑层的方法里,用SqlParameter的方法把sql语句处理一下,不用拼接的方法。该怎么做呢? 答: 例如添加: StringBuilder strSql = new St...
JFinal SQL模板引擎-实例篇
探_无止境的博客
05-15 1730
1. 简介 JFinal 是基于 Java 语言的极速 WEB + ORM + AOP + Template Engine 框架,其核心设计目标是开发迅速、代码量少、学习简单、功能强大、轻量级、易扩展、Restful。在拥有Java语言所有优势的同时再拥有ruby、python、php等动态语言的开发效率!为您节约更多时间,去陪恋人、家人和朋友 ???? JFinal利用自带的 Enjoy Template Engine 极为简洁的实现了 Sql 模板管理功能。一如既往的极简设计,仅有 #sql、#para
SqlParameter的作用与用法
weixin_30267691的博客
02-09 529
  一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1...
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
【深度学习&分布式】Parameter Server 详解
AutoVision (by 仙道菜)
01-20 4万+
MXNet是李沐和陈天奇等各路英雄豪杰打造的开源深度学习框架(最近不能更火了),其中最吸引我的是它的分布式训练的特性;而提供支持其分布式训练特性的正是当年李少帅和 Alex Smola 等人开发的 parameter server. 本文从易用性、通信高效性、可扩展性等角度介绍 parameter server .
SqlParameter 基本用法
kiven
03-05 5405
本文出处http://developer.51cto.com/art/201105/263535.htm ,少有部分改动 因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个
C#中SqlParameter的作用与用法
热门推荐
且听风吟的专栏
10-20 8万+
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13
关于sqlserver中SqlParameter的用法注意事项
最新发布
人生在手
10-12 987
关于sqlserver中SqlParameter的用法注意事项
MySqlParameter使用注意事项
feifan570的专栏
08-27 6105
这几天在搞C#的程序,用到了mysql出现了一个问题: 在数据库中定义了一个time型的数据,在C#中使用参数传递 MySqlParameter[] parameters = {new MySqlParameter("@time_start", MySqlDbType.Time)}, parameters[0].Value = time_start; 其中time_start定义成Date
ROS学习笔记七:parameter server
Will_Ye的博客
03-20 2237
ROS学习笔记七:parameter server 一.Parameter server 前面学了三种主要通信机制: publishers/subscribers services/clients action-servers/action-clients 除了以上三种通信机制,还有第四种通信机制,那就是 parameter server 可以很方便的通过parameter...
DataGridView控件操作数据库
信息技术提高班第九期
03-06 8425
DataGridView与VB中的DataGrid控件功能很相似,但是比起来更加强大,操作更灵活。DataGridView控件的优点:      DataGridView控件绑定DataSet数据集中的数据,一个控件可以灵活运用。操作DataGridView绑定数据有两种方式,一种是使用控件绑定的方式,操作的时候只要更改DataSource数据源就能实现DataGridView数据的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值