Sql Server 的参数化查询

最新推荐文章于 2024-04-23 20:00:00 发布
最新推荐文章于 2024-04-23 20:00:00 发布
阅读量873 收藏 1
点赞数
分类专栏: 随笔 文章标签: c# sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38817409/article/details/89286233
版权

为什么要使用参数化查询呢?参数化查询写起来看起来都麻烦,还不如用拼接sql语句来的方便快捷。当然,拼接sql语句执行查询虽然看起来方便简洁,其实不然。远没有参数化查询来的安全和快捷。

今天刚好了解了一下关于Sql Server 参数化查询和拼接sql语句来执行查询的一点区别。

参数化查询与拼接sql语句查询相比主要有两点好处:

1、防止sql注入

2、 提高性能(复用查询计划)

首先我们来谈下参数化查询是如何防止sql注入的这个问题吧。

防注入例子:

拼接sql语句:

   ("select * from user where name={0}",username)
    
    或者
    
    ("select * from user where name="+username)

当 name传进来是一个’aa’;Truncate Table user 的时候,这样会导致直接清除整个表数据

"select * from user where name='aa';Truncate Table user

  我们使用参数化的时候: 

("select * from user where name=@username",new {username=username})

这时候即使我们传进来的是’aa’;Truncate Table user ,数据库端也会把这些当做字符串处理,执行的sql语句会变成

select * from user where name=''aa';Truncate Table user '

实际上把’aa’;Truncate Table user 这个当做了name的值做查询条件了

以上就是一个简单的例子介绍关于参数化查询如何防止sql注入。

再看到底是如何提高性能的呢?

复用查询计划:

select * from AU_User where Id=1
select * from AU_User where Id=2

Sql Server在执行一条查询语句之前都对对它进行“编译 ”并生成“查询计划”,上面两条查询语句生成的查询计划就是两条不一样的查询计划,在下面这张图片当中我们可以去尝试下执行这两条sql语句

,结果显而易见会生成两条查询计划,Id后面所接的参数不一致。

在这里插入图片描述

然后我们再来看看使用参数化查询

select * from AU_User where Id=@Id

这样不管你传的参数是多少,执行编译生成的查询计划都是 select * from AU_User where Id=@Id,这样可以实现查询计划的复用,并不需要同一个查询去生成多个查询计划
完全可以节省其中生成查询计划的时间

小世界的野孩子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析SQL Server参数化查询
12-14
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。   相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视   错误认识1.不需要防止sql注入的地方无需参数化   参数化查询是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK   错误认识2.参数化查询时是否指定参数类型、参数长度没什么区别   以前也一直都觉的加与不加参数长度
postgresql参数解析
09-28
postgresql的参数的详细解析fdadsa dd ad s
数据科学中10个常用的高级SQL查询方法
最新发布
Python栈_基的博客
04-23 840
作为一名数据分析师或数据科学家,熟练掌握SQL对于操作数据库和提取数据库中的见解至关重要。虽然基本的SQL查询是必要的,但掌握高级SQL查询可以提升你的数据分析技能。在这里,我们将探讨每个数据分析师和数据科学家都应该熟悉的10个高级SQL查询,接下来开始深入了解吧!
SQL Server参数化查询
weixin_30359021的博客
05-25 300
原文引自:http://database.ctocio.com.cn/analysis/338/9449338.shtml 本篇文章将介绍参数化查询。我将讨论如果一个查询可以被参数化,那么SQL Server优化器怎样尝试将其参数化,以及你可以怎样建立你自己的参数化查询。   本篇文章将介绍参数化查询。我将讨论如果一个查询可以被参数化,那么SQL Server优化器怎样尝试...
postgresql 安装_干货 | postgresql(Windows)安装教程(同步发生冲突)
weixin_39554775的博客
12-06 267
PostgreSQL简介PostgreSQL是以加州大学伯克利分校计算机系开发的 POSTGRES,现在已经更名为PostgreSQL,版本 4.2为基础的对象关系型数据库管理系统(ORDBMS)。PostgreSQL支持大部分 SQL标准并且提供了许多其他现代特性:复杂查询、外键、触发器、视图、事务完整性、MVCC。同样,PostgreSQL 可以用许多方法扩展,比如, 通过增加新的数据类型、函...
postgresql sql参数化 事务
Arfer198811的专栏
09-19 947
在一次事务中,多个sql的参数名是共享共用的!与存储过程类似,sql的参数相当于预先声明和赋值,后面多个sql语句按需使用
SQLServer 参数化查询经验分享
09-11
SQL Server参数化查询是一种高效的查询处理技术,它允许SQL语句使用可变的参数,以减少重复编译和优化查询的开销。这种方式对于频繁执行的相似查询尤其有用,因为它们可以共享同一个执行计划,从而提升数据库系统的...
SQL Server参数化查询大数据下的实践
12-14
SQL Server参数化查询在大数据场景下是提升查询性能和确保数据安全的重要手段。在传统的编程方式中,我们常常用字符串拼接的方式构造SQL语句,比如`WHERE IN`子句,这种方式在处理少量数据时是可行的,但在面对几百...
SqlServer参数化查询之where in和like实现详解
09-11
SQL Server中,参数化查询是一种优化查询性能的重要方法,尤其是在处理大量数据时。它能够防止SQL注入攻击,并且能够更好地利用数据库的查询缓存,提高执行效率。本文将详细讲解如何实现`WHERE IN`和`LIKE`操作的...
Impossible WHERE noticed after reading const tables
shunnianlv的博客
01-05 3393
表结构 CREATE TABLE `tb` ( `name` varchar(100) NOT NULL, `id` int(11) NOT NULL AUTO_INCREMENT, `v` int(11) NOT NULL, `aid` int(5) DEFAULT NULL, `deid` int(5) DEFAULT NULL, `hedid` int(5) DEFAULT NULL, PRIMARY KEY (`id`), UNIQUE KEY `zhenshen`
SQL注入 生成参数化的通用分页查询语句
01-01
使用这种通用的存储过程进行分页查询,想要防SQL注入,只能对输入的参数进行过滤,例如将一个单引号“’”转换成两个单引号“””,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效防SQL注入,只有参数化查询才是最终的解决方案。但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化查询语句,因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写一个分页存储过程,这会增加不少的工作量。 经过几天的时间考虑之后,想到了一个用代码来生成参数化的通用分页查询语句的解决方案。代码如下: 代码如下:
一套C#与PostgreSQL数据库完美结合的实例
12-25
本套程序是在VS2005下C#开发,利用PostgreSQL作为数据库。 本程序的重点是如何利用C#对PostgreSQL数据库进行操作,PDatabase.cs是一个完整的操作类,role是角色表的操作类,程序采用三层架构模型。 在对PostgreSQL数据库进行操作时,用到了如何调用存储过程来完成各项操作。 将App_Data下的数据库文件导入到PostgreSQL 8.3版里面,库名为:HYGL 然后修改web.config中的配置即可使用
postgresql参数化查询_PGStrom让PostgreSQL查询飞起来 基于OpenShift3.10的GPU加速
weixin_39874379的博客
11-19 743
作者简介Zvonko Kosic,发表多篇基于openshift的GPU加速系列文章,IBM工程师。译者简介朱君鹏,华东师范大学博士研究生,个人兴趣主要集中在:新型硬件(GPU、RDMA、FPGA等)在数据库中的应用,数据库系统,分布式系统,架构设计与并行计算。Qinghui.Guo,PG粉丝,DBA,负责公司Cloud DB的维护,痴迷于开源架构解决方案,现致力于PG分享和推广。介绍...
多条件搜索问题 -sql拼接参数化查询
weixin_30693183的博客
12-11 358
来源:传智播客 免费开发视频。 问题:根据书名或出版社或作者查询书籍信息。 using System; using System.Collections.Generic问题; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using Sys...
【PG】PostgreSQL查看与修改参数
DBA之路的博客
11-06 2348
PG查看修改参数
Sql ServerC#通过拼接代码的方式组合添加sql语句,会出现那些情况,参数化的作用
小5聊的博客
03-05 3384
博主写的很多博客分享,都是来源于实际开发和学习过程中遇到的一些细节问题, 因此通过文章的方式记录下来,这不仅可以边写边总结边边理解,这样也能加深印象。 本篇文章是讲,为什么要用参数化来生成sql语句?通过创建测试项目一起探索吧!
SQL参数化查询,Where语句中配置“?”
mark_jl的博客
03-28 1451
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
如何支持动态拼接SQL参数化查询
weixin_34092455的博客
12-27 748
--如何支持动态拼接SQL参数化查询 --本demo主要演示,如何在拼接SQL语句的情况下参数化查询 --建立测试表 createtableoswica_test_table_1 ( idint, namevarchar(50), remarkvarchar(100) ) go --写入部分测试数据 insert...
sqlserver参数化查询
07-13
### 回答1: SQL Server参数化查询是一种使用参数来代替查询语句中的具体数值或字符串的查询方式。通常情况下,我们在编写查询语句时,会使用变量来表示查询条件,然后将参数与查询语句绑定,最后执行查询使用参数化查询的好处有以下几个方面: 1. 提高安全性:通过使用参数,可以避免SQL注入攻击。当我们使用变量传递查询条件时,即使用户输入的值恶意改变查询语句,也不能执行除查询以外的其他操作。 2. 提高性能:由于参数化查询使用了预编译的方式,所以可以减少每次查询的编译开销,提高查询性能。 3. 增强可读性:使用参数可以使查询语句更加清晰易读,增加代码的可维护性。 4. 促进代码复用:由于查询条件是通过参数传递的,所以可以实现代码的复用,减少代码冗余。 在SQL Server中,我们可以使用SqlParameter类来创建参数,并将参数添加到SqlCommand对象中。具体步骤如下: 1. 创建SqlCommand对象:使用参数化查询之前,需要创建一个包含查询语句的SqlCommand对象。 2. 创建SqlParameter对象:使用SqlParameter类的构造函数来创建参数对象,需要指定参数名、参数类型、参数值等属性。 3. 添加参数到SqlCommand对象:通过调用SqlCommand对象的Parameters属性的Add方法,将SqlParameter对象添加到SqlCommand对象中。 4. 执行查询:调用SqlCommand对象的ExecuteReader()方法来执行查询,并获取查询结果。 总之,使用SQL Server参数化查询可以提高查询的安全性、性能、可读性和代码复用性。当我们需要对数据库进行操作时,尤其是涉及用户输入的查询条件时,建议使用参数化查询来避免潜在的安全风险。 ### 回答2: SQL Server参数化查询是指在执行SQL语句时,将参数作为独立的变量来处理,而不是将参数直接嵌入到SQL语句中。参数化查询可以提高查询的性能和安全性。 首先,参数化查询可以提高查询的性能。当使用参数化查询时,SQL Server可以缓存已编译的查询计划,然后在后续的查询中重用该计划。这样可以减少查询的编译时间,并且避免每次查询都重新编译查询语句,从而提高查询的执行效率。 其次,参数化查询可以提高查询的安全性。通过将参数作为独立的变量处理,可以避免SQL注入攻击。SQL注入是一种常见的安全漏洞,攻击者可以通过在SQL语句中插入恶意代码来执行未经授权的数据库操作。使用参数化查询可以防止攻击者通过注入恶意代码来破坏数据库或获取敏感数据,从而保护数据库的安全性。 此外,参数化查询还可以提高代码的可读性和维护性。通过将参数与SQL语句分离,可以更清晰地理解查询的逻辑和目的。当修改查询时,只需修改参数值,并不需要修改SQL语句的结构,从而减少错误和代码冗余。 总之,SQL Server参数化查询是一种提高查询性能、安全性和代码可读性的好方法。通过将参数作为独立的变量处理,可以减少查询的编译时间、防止SQL注入攻击,并提高代码的可维护性。 ### 回答3: SQL Server参数化查询是一种使用参数来代替实际值的查询方法。参数化查询可以防止SQL注入攻击,并提高查询的性能和安全性。 在SQL Server中,使用参数化查询可以通过声明和设置参数来实现。首先,我们需要声明参数,并指定参数的名称、数据类型和大小。然后,我们可以将参数绑定到查询语句中的相应位置。 参数化查询的好处之一是可以防止SQL注入攻击。SQL注入是指通过在查询语句中插入恶意代码来攻击数据库。使用参数化查询后,查询语句中的参数值是预编译的,不会被解释为可执行的代码,因此可以有效地防止SQL注入攻击。 此外,参数化查询还可以提高查询的性能。在执行查询之前,数据库服务器会对查询进行优化,并创建查询的执行计划。当使用参数化查询时,数据库服务器可以重用生成的执行计划,避免重新编译查询语句,提高查询的执行效率。 参数化查询还可以提高查询的安全性。通过参数化查询,我们可以限制查询的输入值范围,避免不必要的访问和数据泄漏。例如,我们可以在查询使用参数来限制返回的结果数量或指定特定的条件,从而提供更加安全的查询结果。 总而言之,SQL Server参数化查询是一种有效的查询方法,可以提高查询的性能和安全性。通过声明和设置参数,我们可以防止SQL注入攻击,并优化查询的执行计划,从而提供更高效和安全的数据库查询服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值