参数化SQL语句

最新推荐文章于 2024-03-05 14:16:34 发布
最新推荐文章于 2024-03-05 14:16:34 发布
阅读量407 收藏 1
点赞数
分类专栏: sql 数据库 文章标签: sql SQL Sql 数据库 防止注入式攻击

避免SQL注入的方法有两种:
一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

?
1
select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为:

?
1
select * from UserInfo where sex=@sex

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

?
1
select * from UserInfo where sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
//实例化Connection对象
SqlConnection connection = new SqlConnection( "server=localhost;database=pubs;uid=sa;pwd=''" );
//实例化Command对象
SqlCommand command = new SqlCommand( "select * from UserInfo where sex=@sex and age>@age" , connection);
//第一种添加查询参数的例子
command.Parameters.AddWithValue( "@sex" , true );
//第二种添加查询参数的例子
SqlParameter parameter = new SqlParameter( "@age" , SqlDbType.Int); //注意UserInfo表里age字段是int类型的
parameter.Value = 30;
command.Parameters.Add(parameter); //添加参数
//实例化DataAdapter
SqlDataAdapter adapter = new SqlDataAdapter(command);
DataTable data = new DataTable();

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

数据库AccessMySQLOracle
SQL语句select * from UserInfo
where sex=? and age>?		select * from UserInfo
where sex=?sex and age>?age		select * from UserInfo
where sex=:sex and age>:age
参数OleDbParameterMySqlParameterOracleParameter
实例化参数OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean);MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit);OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值p.Value=true;p.Value=1;p.Value=1;

      通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。
注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

Command对象传参效率测试

在.net平台,普通的insert语句有两种写法,不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2),它们的执行效率如何呢?
做了个试验,代码如下:(数据库是oracle)



执行结果:
10000记录:
不传参数?5:46:19 15:46:34 15秒
传参数:?5:50:51 15:51:01 10秒

50000记录:
不传参数  16:09:03 16:10:24 81秒
传参数::16:15:43 16:16:36 53秒
这只是2个参数的情况,如果参数很多会不会影响更大呢?

10000记录,7个参数:
不传参数:17:11:01 17:11:18 17秒
传参数:17:13:46 17:13:59 13秒
50000记录:7个参数:
不传参数:17:19:02 17:20:25 1分23秒
传参数:17:15:09 17:16:10 1分1秒

需要相差不大,但是向command对象传递参数既可以避免sql注入问题,也可以提高性能;

summerlcxxh
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server SQL性能优化之参数化
12-14
数据库参数化的模式   数据库参数化有两种方式,简单(simple)和强制(forced),默认的参数化默认是“简单”,简单模式下,如果每次发过来的SQL,除非完全一样,否则重编译它(特殊情况会自动参数化,正是本文想说的重点)   强制模式是将adhoc SQL强制参数化,避免每次运行的时候因为参数值的不同而重编译,这里不详细说明。   这首先要感谢“潇湘隐者”大神的提示,当时也是遇到一个实际问题,发现执行计划对数据行的预估,怎么都不对,有观察到无论怎么改变参数,SQL语句执行前都没有重编译,疑惑了好一会,这个问题正是简单参数化模式下,对某些SQL自动参数化造成执行计划重用引起的,也是
db2 存储过程使用动态sql传递日期参数时报SQLCODE=-401,SQLSTATE=42818
bfhai的博客
10-28 1538
--创建测试表 create tale test1( id int, transdate date ); --复制测试表 create table test2 like test1; --测试存储过程 create procedure proc_test() dynaminc result sets 1 language sql begin declare v_date date; declare v_sql varchar(5000); set v_date='202.
嵌入式SQL语言之动态SQL
qq_49090973的博客
01-18 1000
嵌入式SQL语言之动态SQL一、动态SQL的概念和作用二、SQL语句的动态构造-示例1三、动态SQL语句的执行方式概述四、数据字典与SQLDA1、概述2、X/Open标准的系统目录3、Oracle的数据字典五、ODBC与JDBC1、ODBC2、JDBC3、嵌入式SQL的思维模式4、ODBC的思维模式5、JDBC的思维模式6、基于ODBC / JDBC的数据库访问 一、动态SQL的概念和作用 静态SQL特点 SQL语句在程序中已经按要求写好,只需要把一些参数通过变量(高级语言程序语句中不带冒号)传送给嵌入式S
关于把代码sql语句转化为sql
weixin_43563571的博客
10-09 384
在后面添加 createCommand()->getRawSql() 即可
如何用参数化SQL语句污染你的计划缓存
12-14
使用参数化SQL语句你不会污染你的计划缓存——错!!!在这篇文章里我想向你展示下用参数化SQL语句可以污染你的计划缓存,这是非常简单的!  ADO.NET-AddWithValue  ADO.NET是实现像SQL Server关系数据库数据...
SQLServer Top语句参数化方法
09-11
在T-Sql中,一般top数据不确定的情况下,都是拼sql,这样无论是效率还是可读性都不好。应该使用下面参数化Top方式
asp执行带参数的sql语句实例
10-25
主要介绍了asp执行带参数的sql语句实例,参数化SQL语句可以有效的防止SQL注入漏洞,需要的朋友可以参考下
SQL参数化
GaraMaps的博客
09-05 3006
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
参数化命令执行sql语句
MousseIn的博客
11-30 2632
参数化命令执行sql语句理解参数化指令的好处掌握使用参数化指令执行sql语句使用@构造参数化sql命令sqlParameter对象SqlParameter的属性使用SqlCommmand 执行参数化SQL的步骤 理解参数化指令的好处 防止sql注入 string sb = “SELECT *FROM admin WHERE loginid =’”+loginId+"‘AND loginPwd =’"+logingPwd+"’" string sb =“SELECT * FROM admin WHERE
常用SQL语句参数化+显示查询结果
www.v5qq.com的技术博客
03-10 483
常用SQL语句参数化集合: 在不同的SQL语句中使用参数化的方式不尽相同,但一般都是用占位符,然后用command对象添加参数如来实现,现在把常用的参数化方法列表如下: 1.select语句的参数化:使用数据库应用最多的恐怕要是查询语句了,他的参数化参数化方法比较常见。 strSql = "select * from table1 where Name=@name " cmd = New ...
SQL参数化查询
weixin_30514745的博客
03-13 600
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 数据库参数化规律:在参数化SQL中参数名的格式跟其在存储过程中生命存储过程参数一致...
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Galaxy_0的博客
01-13 617
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Sql参数化
weixin_44513361的博客
01-20 2448
关于sql参数化 string strSql="select id,name from [Table] where name=@Name"; using(SqlConnection conn = new SqlConnection ("连接字符串")) { conn.open(); using(SqlCommand cmd = new Sq
Mybatis解析占位符源码工具
p7+的博客
11-27 538
TokenHandler public interface TokenHandler { String handleToken(String content); } ParameterMappingTokenHandler import java.util.ArrayList; import java.util.List; public class ParameterMappingTokenHandler implements TokenHandler { private List<P
Sql Server】C#通过拼接代码的方式组合添加sql语句,会出现那些情况,参数化的作用
最新发布
小5聊的博客
03-05 2677
博主写的很多博客分享,都是来源于实际开发和学习过程中遇到的一些细节问题, 因此通过文章的方式记录下来,这不仅可以边写边总结边边理解,这样也能加深印象。 本篇文章是讲,为什么要用参数化来生成sql语句?通过创建测试项目一起探索吧!
根据参数写动态sql
有教无类的专栏
12-24 894
不止mysql不能识别,oracle、db2一样都不能识别,印象里只有foxbase可以通过转义识别。 而在mysql、oracle、db2里就需要用动态sql 实现过程如下 DELIMITER $$ drop PROCEDURE `exe_select`$$ CREATE PROCEDURE `exe_select`(in tbl varchar(500),in col varchar(
执行动态SQL语句时传入参数
weixin_30616969的博客
07-11 1360
使用sp_executesql执行动态SQL语句,同时向里面传入参数。 createprocedureproc_SelectDynamic@Idint,--ID@LbIdint,--类别ID@GetFieldnvarchar(200)--获取字段名ASdeclare@sqln...
python sql语句参数化
09-09
对于 Python 中的 SQL 语句参数化,可以使用数据库模块提供的占位符来实现。最常见的方法是使用 `%s` 占位符来表示参数的位置,具体步骤如下: 1. 导入数据库模块,例如 `import pymysql` 或 `import sqlite3`。 2. 建立与数据库的连接,例如 `connection = pymysql.connect(...)` 或 `connection = sqlite3.connect(...)` 3. 创建游标对象,例如 `cursor = connection.cursor()` 4. 编写 SQL 查询语句,并在需要参数的位置使用 `%s` 占位符。 5. 执行 SQL 查询时,将参数值作为第二个参数传递给 `execute()` 方法。 这里是一个示例代码片段,以演示如何使用参数化执行 SQL 查询: ```python import pymysql # 建立与数据库的连接 connection = pymysql.connect(host='localhost', user='root', password='password', database='mydatabase') # 创建游标对象 cursor = connection.cursor() # 编写参数化SQL 查询语句 sql = "SELECT * FROM mytable WHERE name = %s AND age > %s" # 执行 SQL 查询,将参数值作为元组传递给 execute() 方法 params = ('John', 25) cursor.execute(sql, params) # 获取查询结果 result = cursor.fetchall() # 处理查询结果 for row in result: print(row) # 关闭游标和数据库连接 cursor.close() connection.close() ``` 注意:不同的数据库模块可能会略有不同的用法,上述代码仅作为示例。请根据你所使用的数据库模块的文档进行具体的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值