NET中应用SQL参数化时当要注意的一些细节问题

最新推荐文章于 2021-01-18 18:36:32 发布
最新推荐文章于 2021-01-18 18:36:32 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: C# 文章标签: c# ado.net sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starfd/article/details/42004605
版权

在通过ADO.NET与SQL进行数据交互时,为了防止SQL注入,一般采用参数化的方式,而SqlParameter对应的构造函数如下

// 摘要:
        //     初始化 System.Data.SqlClient.SqlParameter 类的新实例。
        public SqlParameter();
        //
        // 摘要:
        //     用参数名称和新 System.Data.SqlClient.SqlParameter 的一个值初始化 System.Data.SqlClient.SqlParameter
        //     类的新实例。
        //
        // 参数:
        //   parameterName:
        //     要映射的参数的名称。
        //
        //   value:
        //     一个 System.Object,它是 System.Data.SqlClient.SqlParameter 的值。
        public SqlParameter(string parameterName, object value);
        //
        // 摘要:
        //     用参数名称和数据类型初始化 System.Data.SqlClient.SqlParameter 类的新实例。
        //
        // 参数:
        //   parameterName:
        //     要映射的参数的名称。
        //
        //   dbType:
        //     System.Data.SqlDbType 值之一。
        //
        // 异常:
        //   System.ArgumentException:
        //     dbType 参数中提供的值为无效的后端数据类型。
        public SqlParameter(string parameterName, SqlDbType dbType);
        //
        // 摘要:
        //     用参数名称、System.Data.SqlDbType 和大小初始化 System.Data.SqlClient.SqlParameter 类的新实例。
        //
        // 参数:
        //   parameterName:
        //     要映射的参数的名称。
        //
        //   dbType:
        //     System.Data.SqlDbType 值之一。
        //
        //   size:
        //     参数的长度。
        //
        // 异常:
        //   System.ArgumentException:
        //     dbType 参数中提供的值为无效的后端数据类型。
        public SqlParameter(string parameterName, SqlDbType dbType, int size);
        //
        // 摘要:
        //     用参数名称、System.Data.SqlDbType、大小和源列名称初始化 System.Data.SqlClient.SqlParameter
        //     类的新实例。
        //
        // 参数:
        //   parameterName:
        //     要映射的参数的名称。
        //
        //   dbType:
        //     System.Data.SqlDbType 值之一。
        //
        //   size:
        //     参数的长度。
        //
        //   sourceColumn:
        //     源列的名称。
        //
        // 异常:
        //   System.ArgumentException:
        //     dbType 参数中提供的值为无效的后端数据类型。
        public SqlParameter(string parameterName, SqlDbType dbType, int size, string sourceColumn);
        //
        // 摘要:
        //     用参数名称、参数的类型、参数的大小、System.Data.ParameterDirection、参数的精度、参数的小数位数、源列、要使用的 System.Data.DataRowVersion
        //     和参数的值初始化 System.Data.SqlClient.SqlParameter 类的新实例。
        //
        // 参数:
        //   parameterName:
        //     要映射的参数的名称。
        //
        //   dbType:
        //     System.Data.SqlDbType 值之一。
        //
        //   size:
        //     参数的长度。
        //
        //   direction:
        //     System.Data.ParameterDirection 值之一。
        //
        //   isNullable:
        //     如果字段的值可为 null,则为 true;否则为 false。
        //
        //   precision:
        //     要将 System.Data.SqlClient.SqlParameter.Value 解析为的小数点左右两侧的总位数。
        //
        //   scale:
        //     要将 System.Data.SqlClient.SqlParameter.Value 解析为的总小数位数。
        //
        //   sourceColumn:
        //     源列的名称。
        //
        //   sourceVersion:
        //     System.Data.DataRowVersion 值之一。
        //
        //   value:
        //     一个 System.Object,它是 System.Data.SqlClient.SqlParameter 的值。
        //
        // 异常:
        //   System.ArgumentException:
        //     dbType 参数中提供的值为无效的后端数据类型。
        [EditorBrowsable(EditorBrowsableState.Advanced)]
        public SqlParameter(string parameterName, SqlDbType dbType, int size, ParameterDirection direction, bool isNullable, byte precision, byte scale, string sourceColumn, DataRowVersion sourceVersion, object value);
        //
        // 摘要:
        //     初始化 System.Data.SqlClient.SqlParameter 类的一个新实例,该类使用参数名、参数的类型、参数的长度、方向、精度、小数位数、源列名称、System.Data.DataRowVersion
        //     值之一、用于源列映射的布尔值、SqlParameter 的值、此 XML 实例的架构集合所在的数据库的名称、此 XML 实例的架构集合所在的关系架构以及此参数的架构集合的名称。
        //
        // 参数:
        //   parameterName:
        //     要映射的参数的名称。
        //
        //   dbType:
        //     System.Data.SqlDbType 值之一。
        //
        //   size:
        //     参数的长度。
        //
        //   direction:
        //     System.Data.ParameterDirection 值之一。
        //
        //   precision:
        //     要将 System.Data.SqlClient.SqlParameter.Value 解析为的小数点左右两侧的总位数。
        //
        //   scale:
        //     要将 System.Data.SqlClient.SqlParameter.Value 解析为的总小数位数。
        //
        //   sourceColumn:
        //     源列的名称。
        //
        //   sourceVersion:
        //     System.Data.DataRowVersion 值之一。
        //
        //   sourceColumnNullMapping:
        //     如果源列可以为 null,则为 true;如果不可以为 null,则为 false。
        //
        //   value:
        //     一个 System.Object,它是 System.Data.SqlClient.SqlParameter 的值。
        //
        //   xmlSchemaCollectionDatabase:
        //     此 XML 实例的架构集合所在的数据库的名称。
        //
        //   xmlSchemaCollectionOwningSchema:
        //     包含此 XML 实例的架构集合的关系架构。
        //
        //   xmlSchemaCollectionName:
        //     此参数的架构集合的名称。
        public SqlParameter(string parameterName, SqlDbType dbType, int size, ParameterDirection direction, byte precision, byte scale, string sourceColumn, DataRowVersion sourceVersion, bool sourceColumnNullMapping, object value, string xmlSchemaCollectionDatabase, string xmlSchemaCollectionOwningSchema, string xmlSchemaCollectionName);

对于这又臭又长的构造函数,一般情况下,我们都会采用第二个构造函数(如果你们不是,好吧,那是我懒),因为它只要两个参数,然后SqlParameter内部会根据value的类型自动推断其它的参数,比如SqlDbType,一切都是那么的美好,But,the question is coming!

1、绝对不要直接用 new SqlParameter(“@Test”,0),具体原因在msdn上有

2、查询时,对于字符串,会出现一些你意想不到的事情,以下是真实案例,亲身经历(注:数据库字段均为varchar,两个参数的构造函数默认会设置SqlDbType为nvarchar)

a) 根据用户名查询相关信息,简单的一个where userName=@UserName,数据量不大,查询时间需要几秒,直接在SQL查询分析器里面毫秒,具体原因可以见这里

b) Like查询,假定要查询%L%,有些包含L的能被查询出来,有些却查不出来,Why?好吧,暂时我还没找到相关的书面解释,但猜测还是跟a同样的原因,而对于此问题的推断依据是:能查询出来的字符串长度都是在几百以内,而查不出来的字符串都是非常长的字符串,虽然没具体统计过,但长度至少在4000以上(nvarchar后面为具体数字时最大只能4000)

PS:MSSQL的隐式转换遵循向上转换原则,类似C#,即(long)50与(int)50进行比较时,(int)50会被隐式转化成(long)50

注:虽然此处是以MSSQL作为例子,但相信同样的问题在其它关系型数据库中也会存在,所以最好还是不要偷懒,毕竟

new SqlParameter("@Test",0)

var param = new SqlParameter("@Test", SqlDbType.Int);
param.Value = 0;
相比,其实也没少多少代码是不是


其实没搞懂为啥微软没提供个如下的构造函数呢

public SqlParameter(string parameterName,SqlDbType dbType,object value);


娃都会打酱油了
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ASP.NET参数化SQL语句(SQL SERVER)
SpiderManSun的博客
03-24 2497
设计项目时,为了防止SQL注入,有很多种方法,一种是通过编写存储过程来防止SQL注入,使用这种方法可以提高性能,但是对于查询语句可能存在多种不同的SQL语句,这就要编写很多存储过程,还有一种方法是通过参数化,在这里只介绍一下SQL SERVER的。 先来介绍查询: 普通的查询语句(未将密码加密):   select top 1* from adminDB where username='...
.NET参数化查询数据库
weixin_30325071的博客
07-17 224
  一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()){  con.ConnectionString ="************************";  con.Open();  SqlComm...
Ado.Net SQL语句参数化SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5390
Ado.NetSQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
ADO.NET(四) 参数化sql和简单的 增删改查
11-23 4109
ExecuteScalar()方法通过SELECT语句返回查询结果的第一行第一列的值,该方法常用于执行返回单个字段的 查询,如count(),max()等。 ExecuteNonQuery()方法执行返回结果集的命令,如insert delete update。这个方法返回一个信息--受影响的 行数,如果不是insert delete update 则返回-1。 为了防止sql注入漏洞我
sql参数查询的注意
XuXuemin的专栏
03-12 952
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。       在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一
应用Microsoft SQL Server 7.0要注意全角(文)逗号的使用.pdf
09-19
4. **使用参数化查询**:在执行动态SQL时,使用参数化查询能有效防止SQL注入,并且能够确保数据被正确解析。 5. **错误处理和异常捕获**:设置适当的错误处理机制,以便在遇到因全角逗号导致的问题时,能够捕获并...
露天采煤机参数化设计系统研究
06-01
此外,文提及的掘进机锚护平台装置的设计实例,展示了在煤矿机械设备设计的一些具体细节,如挡板和橡胶板的减振功能,以及便于维护和替换的结构设计。这些设计考虑了设备长期运行的耐用性和安全性,符合国家相关...
经典ASP的简化参数化查询类
04-11
标题的“经典ASP的简化参数化查询类”指的是在Active Server Pages (ASP) 的旧版本,为了提高代码可读性和安全性,通过自定义类来实现数据库查询参数化的技术。在传统的ASP开发,通常使用VBScript编写脚本,...
NET实用的SQLSERVER实体类
09-20
这可能涉及到参数化查询以防止SQL注入攻击。 3. **事务处理**:对于涉及多条数据库操作的情况,可能会提供开始、提交和回滚事务的方法。 4. **数据读取**:使用`SqlDataReader`或者`SqlCommand.ExecuteScalar`、`...
体系结构最佳实践-自动执行SQL参数创建和分配
04-08
在IT行业,尤其是在数据库管理和应用程序开发领域,"体系结构最佳实践-自动执行SQL参数创建和分配"是一个重要的主题。这个话题关注的是如何高效地管理和利用SQL参数,特别是通过自动化手段来提升开发效率和代码...
SQL Server参数化SQL写法遇到parameter sniff ,导致不合理执行计划重用的一种解决方案
风雨无阻,执着追求!!!
12-22 509
parameter sniff问题是重用其他参数生成的执行计划,导致当前参数采用该执行计划非最优化的现象。想必熟悉数据的同学都应该知道,产生parameter sniff最典型的问题就是使用了参数化SQL(或者存储过程使用了参数化)写法,如果存在数据分布不均匀的情况下,正常情况下生成的执行计划,在传入在分布数据较多的参数的情况下,重用了正常参数生成的执行计划,而这种缓存的执行计划并非适合当前参
EntityFramework 执行SQL语句进行参数化查询代码示例
Kevin.Chen - 专注前行
10-09 8952
在我们用EntityFramework时,一般情况下我们是要将数据库表或对象添加到edmx文件,以建立数据映射模型;从而进行后续的增删查改。但有时在做老系统维护或改造时,会发现老系统代码有很长的拼装SQL语句,好多这个连接那个连接非常复杂(能有上千行之多啊,如在现在我们可能就用存储过程处理了,但碍于风格统一,客户限制等),这时去理清里面的关系,再将需用到的表添加大edmx,再按照连接关系去用
MySQL - 31预处理(绑定变量)
学无止境
06-06 422
什么是预处理 从MySQL 4.1开始,就支持预处理语句(Prepared statement),这大大提高了客户端和服务器端数据传输的效率。当创建一个预定义SQL时,客户端向服务器发送一个SQL语句的原型;服务器端接收到这个SQL语句后,解析并存储这个SQL语句的部分执行计划,返回给客户端一个SQL语句处理句柄,以后每次执行这条SQL,客户端都指定使用这个句柄。 即时SQL(一次编译、一次运行) 语法和词义的解析; 优化SQL语句,制定执行计划; 执行SQL语句并返回结果; … … 语法和词义的解析
mysql 预处理_mysql sql预处理之总结
weixin_34231219的博客
01-18 194
根据自己有限的java数据库编程的经验,对sql做预处理可以提高执行的效率,所以对mysql的c API做了些探索。从好坏两方面来总结mysql提供的这些接口:好处是,他提供的是一种buffer的机制,我对它做了优化,就是为所有的参数buffer数据创建了一个大的静态的或者全局缓冲区,这样每次改变buffer内容的时候只需要对相应的字段赋值即可,不需要每次重新设置buffer指向的内存,因为这块内...
MySQL之使用预处理对象PreparedStatement防止注入攻击
绣花针
06-17 686
通过预处理对象PreparedStatement,对SQL语句参数列表进行指定传参,防止用户在SQL语句结尾上添加额外的SQL语句
数据层之SqlParameter参数转化
学习,工作以及生活
08-12 1504
// MakeInParam 和MakeParam在业务层使用,在本类不使用。 #region 传入参数并且转换为SqlParameter类型 /// /// 函数作用:转换参数 /// /// 存储过程名称或命令文本
ADO.NET使用参数化SQL语句的大同小异
老菜鸟
08-01 5023
ADO.NET使用参数化SQL语句的大同小异 标签: sqlstringsql servernullmysqlaccess 2008-03-19 01:26 15067人阅读 评论(17) 收藏 举报  分类: C#基础(110)  asp.net(103)  版权声明:本文为博主原创文章,未经博主允许不得转载。 在ADO.NET
c#SQL参数化查询自动生成SqlParameter列表
天水宇的博客
05-27 7751
string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数化查询是经常用到的,它可以有效防止SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。 支持泛型,Object和ExpandoObject动态类型 using System; using System.Collec
数据库管理与应用SQL Server和ACCESS详解
"《创建数据库对话框的事务日志页框》是关于数据库基础与应用的课件,主要内容涵盖数据库管理系统的应用,特别是SQL Server的使用。课程由徐孝凯和贺桂英编著,主讲人李建提供联系方式以供咨询。这门课程旨在使...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值