参数化SQL小认识

在做机房收费系统项目，编写数据连接并访问数据库时，见别人都用了带“@”字符的SQL语句，就很好奇为什么都用这个语句呢？直接拼写SQL语句不是更加方便吗？带着这个问题上网查资料，才知道原来他们用的是参数化SQL，那么为什么要用参数化SQL？什么是参数化SQL呢？

在做第一次机房收费系统的时候，大部分的应该都是使用直接拼SQL语句的方法，那时候就听前辈们有说到SQL注入，那时候也不要求了解，只需要知道就行。

1.直接拼SQL：

就像大家在做第一次机房收费系统的时候所了解到的一样，直接拼写SQL很容易带来SQL注入攻击，但是因为直接拼写不用添加SqlParameter，所以会减少很少的代码。因此，这种方法也会把你直接编写的命令直接发到数据服务器上直接执行。

2.参数化SQL：

所谓的“参数化SQL”就是在应用程序设置SqlCommand.CommandText的时候使用参数（如：param1），然后通过SqlCommand.Parameters.Add来设置这些参数的值。这种做法会把你准备好的命令通过sp_executesql系统存储过程来执行，使用参数化，最直接的好处就是防止SQL注入。也就是说使用这种方法，主要是为了保证数据库的安全。

参数化SQL原理：

在使用参数化查询的情况下，数据服务器不会将参数的内容视为SQL指令的一部分来处理，而是在数据库完成SQL指令之后，才套用参数执行，因此就算参数中含有有损的指令，也不会被数据库执行。

下面只是自己在做机房收费系统项目的时候，用到参数化查询的一个小例子：

Public Class SqlStuBasicInfo : Implements IStuBasicInfo

    Dim strConnstr As String = System.Configuration.ConfigurationSettings.AppSettings("connstr")  '通过反射获取数据连接
    Dim conn As SqlConnection = New SqlConnection(strConnstr)    '实例化Connection对象
    ''' <summary>
    ''' 判断卡号是否存在
    ''' </summary>
    ''' <param name="Icard"></param>
    ''' <returns>返回实体层</returns>
    ''' <remarks></remarks>

    Public Function CheckcardNO(Icard As StuBasicInfo) As Enity.StuBasicInfo Implements IStuBasicInfo.CheckcardNO

        Dim sql As String = "select * from T_STUBASICINFO Where CardNo=@CardNo"
        Dim params As SqlParameter()

        params = {New SqlParameter("CardNo", Icard.CardNo)}

        Dim cmd As SqlCommand = New SqlCommand(sql, conn)
        cmd.Parameters.AddRange(params)

        Dim reader As SqlDataReader
        Try
            conn.Open()
            reader = cmd.ExecuteReader
            reader.Read()
            Icard.CardNo = Trim(reader.Item("CardNo"))
            Return Icard

        Catch ex As Exception

            Icard.CardNo = ""
            Return Icard

        End Try

    End Function

以前，对学习新的知识总是带有一种恐惧感，总觉得自己不能把它们弄明白。看到别人在做项目的时候，用到了很多自己不会的知识，就觉得很有压力，其实换一种心态去想，这正是给你提供了一个提升自我的机会，谁不是从不会走过来的！