Ado.Net SQL语句参数化(SqlParameter用法)(多条件模糊查询的实现)

最新推荐文章于 2021-11-21 16:15:31 发布
最新推荐文章于 2021-11-21 16:15:31 发布
阅读量5.4k 收藏 25
点赞数 4
分类专栏: Ado.Net 文章标签: 多条件模糊查询实现 Ado.Net中SQL语句参数话 SqlParameter三种实现方式 SqlParamete数组运用 查询条件拼接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40564078/article/details/89404988
版权

使用SqlParameter将查询条件参数化可以达到以下效果:

  1. 避免SQL注入,提高代码而安全性。
  2. 利用SqlParameter的重载方法、参数数组等可以提高代码的重用率
  3. 可以实现SQl语句参数的动态添加

插入内容:

using的使用,在Ado.Net程序中,用using的方式打开数据库时,当不用数据库连接可以自动关闭释放资源。有利于资源的回收利用

 

 

SQL语句参数化的三种方式:

1.直接参数化(以win32程序为例)

using System.Data.SqlClient;

namespace EasySqlParameter
{
    class Program
    {
        static void Main(string[] args)
        {
            string conText = "server=.;uid=sa;pwd=123456;database=ars";
            using (SqlConnection con = new SqlConnection(conText))
            {
                con.Close();//打开数据库连接
                string sqlText = "select sName from student where sId=@sid";//sql语句带多个参数
                using (SqlCommand cmd = new SqlCommand(sqlText, con))
                {
                    SqlParameter parameter = new SqlParameter("@sid", 20160001);
                    cmd.Parameters.Add(parameter);//将参数添加到SQL执行命令
                    cmd.ExecuteNonQuery();//返回受影响的行数
                }
            }
        }
    }
}

 

2.参数数组参数化(以win32程序为例)

using System.Data.SqlClient;

namespace SQLParameters
{
    class Program
    {
        static void Main(string[] args)
        {
            string conText = "server=.;uid=sa;pwd=123456;database=ars";
            using (SqlConnection con = new SqlConnection(conText))
            {
                using (SqlCommand cmd = con.CreateCommand())
                {
                    con.Open();
                    cmd.CommandText= "select sName from student where sId = @sid and sMajor = @sMajor and sPassword = @sPassword";
                    //构造参数数组parameters
                    SqlParameter[] parameters = {new SqlParameter("@sid",20160001),
                                                new SqlParameter("@smajor",1101),
                                                new SqlParameter("@spassword",123456) };
                    cmd.Parameters.AddRange(parameters);
                    cmd.ExecuteNonQuery();
                }
            }
        }
    }
}

 

3.参数集合参数化(适合多条件查询或者模糊查询使用),以两个条件的winform多条件模糊查询为例:

(1)查询界面构建如下:

(2)搜索按钮中的代码如下:

        private void btnSearch_Click(object sender, EventArgs e)
        {
            //************查询条件集合的获取***************//
            List<SqlParameter> parameters = new List<SqlParameter>();//构建参数数组
            List<string> wherelist = new List<string>();//构建查询条件字符串数组
            if (!string.IsNullOrEmpty(this.txtsId.Text.Trim()))//判断输入条件是否为空,否则添加查询的参数和条件
            {
                wherelist.Add("sId like @sId");
                SqlParameter parameter = new SqlParameter();
                parameter.ParameterName = "@sId";
                parameter.Value = "%" + textsId.Text.ToString() + "%";
                parameters.Add(parameter);
            }
            if (!string.IsNullOrEmpty(this.txtsName.Text.Trim()))
            {
                wherelist.Add("sName like @sName");
                SqlParameter parameter = new SqlParameter();
                parameter.ParameterName = "@sName";
                parameter.Value = "%" + textsName.Text.ToString() + "%";
                parameters.Add(parameter);
            }


            //************将查询条件集合转换为数组***************//
            SqlParameter[] sqlParameters = parameters.ToArray();


            //************查询所需SQL语句的拼接***************//
            string sqlText = "select sId, sName, sPassword, sMajor from student";//没有拼接的SQL语句,没有查询条件
            if (wherelist.Count > 0)//查询条件字符串的拼接
            {
                sqlText += " where " + string.Join(" and ", wherelist);
            }

            //************按条件查询数据***************//
            string conText = "server=.;uid=sa;pwd=123456;database=ars";
            using (SqlDataAdapter adapter = new SqlDataAdapter(sqlText, conText))
            {
                DataTable dt = new DataTable();//接收查询数据
                adapter.SelectCommand.Parameters.AddRange(sqlParameters);//将参数值赋给查询条件
                adapter.Fill(dt);
                this.dataGridView1.DataSource = dt;
            }
        }

 

(3)模糊查询结果

 

胡林ll
关注
专栏目录
VB.NET学习笔记:ADO.NET操作ACCESS数据库——执行含参数SQL语句或存储过程,防止SQL注入攻击
zyjq52uys的博客
03-18 821
通过提供类型检查和验证,命令对象可使用参数来将值传递给 SQL 语句或存储过程。 与命令文本不同,参数输入被视为文本值,而不是可执行代码。 这样可帮助抵御“SQL 注入”攻击,防止攻击者将命令插入 SQL 语句而危及数据库的安全。 一、执行含参数SQL语句 示例代码如下: '连接数据库 Dim conn As New OleDb.OleDbConnection(&quot;Provider=...
ADO.NET命令参数(SqlParameter)使用示例
05-25
ADO.NET关于命令参数(SqlParameter)使用的一个完整示例,包包括数据库,可直接运行使用。
ADO.NET基础琐碎总结-----参数化查询
weixin_34306446的博客
04-02 131
       参数化查询Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。       说起参数化查询当然最主要的就是如何构造所谓的参数:比如...
SqlParameter的作用与用法
weixin_30267691的博客
02-09 541
  一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1...
SqlParameterSQL传递参数
weixin_34112208的博客
05-11 338
1.数据访问层 using的用法: 01.可以using System;导命名控空间 02.using 的语法结构 using(变量类型 变量名 =new 变量类型()) { } 案例: 03.using的原理 为什么出了using所在的{},会自动回收对象。 原因是当我们将要出{},系统自动调用了Dispose()方法。 而...
ADO.NET 参数化查询
weixin_30793643的博客
09-06 175
   参数化查询    使用参数化查询的情景有很多,但最常用的情景是需要用户在查询进行输入的情况。    有两种方法可供使用。第一,可以讲用户输入嵌入到查询字符串,例如可能使用.NET Framework的String.Format函数。     第二种方法是构造一种参数化查询。    在开始时执行如下所示的基本查询:     1 ...
ado.net操作oracle简单参数化sql操作
11-23
在本文,我们将深入探讨如何使用ADO.NET进行Oracle数据库的简单参数化SQL操作,这对于防止SQL注入攻击、提高代码可读性和复用性至关重要。 首先,要进行Oracle数据库操作,我们需要引入Oracle的数据提供者——...
SqlServer:使用IN()子句C#进行参数化查询
04-07
总之,通过C#和ADO.NET,我们可以安全高效地使用参数化查询处理SQL Server的IN操作符,实现灵活的数据筛选。结合Entity Framework,这种能力可以进一步扩展到更高级的ORM操作,使开发更加简洁和高效。
ADO.NET实现SQL Server数据库的增删改查示例
10-20
执行插入操作时,会将参数化查询添加到 `SqlCommand` 对象的 `Parameters` 集合,并执行 `ExecuteNonQuery` 方法,该方法用于执行不返回任何行(如INSERT、UPDATE、DELETE语句)的SQL命令。 删除操作与插入操作...
ADO.NET自己封装SqlHelper类
04-21
这个SqlHelper类通常包含了执行SQL语句的基本功能,比如执行非查询操作、查询操作,以及处理参数化查询等。下面我们将详细讨论如何使用C#语言封装一个SqlHelper类,以及其核心知识点。 首先,我们要理解ADO.NET的...
ado.net参数化查询
Finder_Way
10-25 1580
在 Web 应用程序的开发过程,Web 安全是非常重要的,现存的很多网站也都存在一 些非常严重的安全漏洞,其SQL 注入是非常常见的漏洞,如果将查询语句进行参数化查 询,可以减少SQL 注入漏洞的概率,参数化查询示例代码如下所示。 string strsql = "select * from mynews where id= @id" 上述代码使用了参数化查询,在存储过程参数化
SqlParameter
a32232730的博客
07-15 191
1 List<SqlParameter> parameters = new List<SqlParameter>(); 2 SqlParameter param; 3 foreach (...) 4 { 5 param = new SqlParameter(...); 6 parameters.Add(param); 7 } 8 SqlPara...
SqlParameter用法
weixin_34034670的博客
06-19 405
关于Sql注入的基本概念,相信不需多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用都使用drop命令,那么可能你的整个数据库得全线崩溃。 当然,现在重点不是讲sql注入的害处,而是说说如何最大限度的避免注入...
避免SQL注入,使用ADO.NET参数化查询
HongfeiAn
10-26 468
using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Threading.Tasks; using...
ADO.NET参数化查询缩短开发时间
sinodier的专栏
09-13 384
一段时间以来,存储过程一直是企业应用程序开发数据访问的首选方法。存储过程的安全性更高、封装能力更强,并能执行复杂的逻辑,且不会打乱应用程序代码。但是,它也存在一些缺点: • 开发者倾向于在存储过程加入商业逻辑。 • 更改过程时必须改变开发环境。 • 查找过程所需的参数比较费时。 • 许多时候,存储过程提供的功能超出所需。   嵌入到应用程序代码的内联SQL代码是数据访问的另
ADO.NET基础琐碎总结-----参数化查询(有修改)
sun__flow的专栏
04-23 712
参数化查询Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。       说起参数化查询当然最主要的就是如何构造所谓的参数:比如,我们登陆时需
ADO.NET(SqlParameter)
Mr_Zhangsl1的博客
11-21 218
用与sql语句参数。 在SqlCommand对象有一个Parameters属性,该属性的类型是SqlParameterCollection,是一个SqlParameter对象的集合。
ADO.NET 使用参数化查询
weixin_30296405的博客
09-28 218
1.要在ADO.NET对象模型执行一个参数化查询,需要向Command对象的Parameters集合添加Parameter对象 生成SqlParameter的最简单方式是调用SqlCommand对象的Parameters集合的AddWithValue. 可生成了一个新的SqlParameter对象,并设置新对象的ParameterName和Value属性 eg: cmd.Paramet...
ADO.NET访问SQL Server:查询数据库教程
4. **参数化查询**:为了防止SQL注入攻击,通常使用参数化查询。在实验代码,可以使用SqlParameter对象来设置查询参数,例如,添加两个参数对应学生姓名和课程名,然后在SQL命令使用占位符(@StudentName和@...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值