C# Firebird SQL 语句带参数书写

已于 2022-07-04 17:53:52 修改
阅读量560 收藏
点赞数
分类专栏: C# 文章标签: c# sql 开发语言
于 2022-07-02 22:45:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011846249/article/details/125578744
版权

⼀、常⽤的sql语句写法

1、 ## 直接写⼊的对于⾮值类型字符串,两边各加⼀个单引号(')

例如

strsql = "update tuser set fpwd = '" + Md5Encryption.GenerateMD5(txtConfirmPwd.Text) + "' where fcode = '"+PropertyClass.UserCode+"'";

因为PropertyClass.UserCode为字符串,非直接值类型所以
在"+PropertyClass.UserCode+"两边各加⼀个单引号(')来实现,

2.占位符的字符串拼接

  strsql = "update tuser set fpwd = '{0}' where fcode = '{1}'";
 strsql = string.Format(strsql, Md5Encryption.GenerateMD5(txtConfirmPwd.Text), PropertyClass.UserCode);

以上,在实际开发中,直接写字符串或使⽤占位符的⽅式,会有潜在的被sql注⼊式攻击的危险。

解决方法:

⼆、可通过带参数的SQL语句和存储过程实现。

例:

 strsql = "update tuser set fpwd=@p1 where fcode=@p2";
            FbParameter[] param = new FbParameter[]
            {
                new FbParameter("@p1",Md5Encryption.GenerateMD5(txtConfirmPwd.Text)),
                new FbParameter("@p2", PropertyClass.UserCode),
            };

            try
            {
               /* 调用执行封装的SQL命令函数*/
                if(db.ExecDataBySql(strsql,param) > 0)
                {}
            }
          
     /*封装的执行SQL命令的函数*/
         public int ExecDataBySql(string strSql, FbParameter[] param = null)
        {
            int intReturnValue;

            m_Cmd.CommandType = CommandType.Text;
            m_Cmd.CommandText = strSql;

            try
            {
                if(m_Conn.State == ConnectionState.Closed)
                {
                    m_Conn.Open();
                }
                if(param != null)
                {
                    m_Cmd.Parameters.AddRange(param);
                }
                intReturnValue = m_Cmd.ExecuteNonQuery();

            }catch(Exception e)
            {
                throw e;
            }
            finally
            {
                m_Conn.Close(); //连接关闭,但不释放掉该对象所占的内存单元
            }

            return intReturnValue;
        }

FbParameter的两个⽅法
1,Add⽅法
FbParameter
sp = new FbParameter(“@name”,“lisi”);
m_cmd.Parameters.Add(sp);
sp= new SqlParameter(“@ID”,“1”);
m_cmd.Parameters.Add(sp);
2,AddRange⽅法
FbParameter[]
params = new SqlParameter[]
{ new SqlParameter(“@name”,“zhangsan”),new SqlParameter(“@ID”,“1”)
};
m_cmd.Parameters.AddRange(params);

FreeSoar1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用FireBird数据库和管理工具IBExpert过程的问题与解决方法
搬砖工
07-23 1万+
第一次接触FireBird数据库,今天下午测试连接了一下午都没有连接上,每次用IBExpert登记一个数据库的时候都没登记上,提示firebird.msg没有找到和Your user name and password are not defined. Ask your databaseadministrator to set up a Firebird login. 安装Fir
Firebirdsql共5页.pdf.zip
10-30
Firebirdsql共5页.pdf.zip
C#---mysql参数sql语句
weixin_47328424的博客
07-27 1434
1.当使用参数sql语句的时候, 1>sql语句中会出现参数。 2>如果sql语句中有参数,那么必须在command对象中提供对应的参数和值。| #region 不参数sql语句 ////1.采集数据 //string loginName = txtloginName.Text.Trim(); //string password = txtPassword.Text.Trim(); ...
C#SQL语句参数写法
我只是坚持我的兴趣。
08-11 2万+
MySql语句参数写法总结: 1.mysql数据库驱动有两种:mysql-connector-odbc和mysql-connector-net,   前者不支持参数,后者支持,这是我测试的结果; 2.参数变量使用跟SqlServer一样,只需把@变为?,   如,mysql中写为:insert into test values (?id,?title,?type,now())"; 3.使
Firebird主从表存储过程的两种写法
05-14 2605
有三个表:tb_employee,tb_customer,tb_movemaster,分别表示一个公司的业务员、公司的客户和公司的销售主文件表,它们是父表和子表的关系:CREATE TABLE TB_EMPLOYEE (    F_ID            INTEGER NOT NULL,    F_DEPTNO        INTEGER,    F_EMPLOYEENO    INT
C#连接firebird嵌入版数据库实例
10-12
测试环境:vs2008+firebird2.5 C#连接firebird嵌入版数据库实例
浅谈FireBird数据库SQL语句的优化.pdf
09-19
浅谈FireBird数据库SQL语句的优化.pdf
FireBird常用SQL语句
10-19
Firebird特性介绍:firebird是一个全功能的,强大高效的,轻量级,免维护的数据库。它很容易让您从单用户,单数据库升级到企业级的应用。 本文总结的Firebird常用的SQL语句
Firebird嵌入式SQL Server编写UDF
04-11
我们将描述如何创建您自己的本地Firebird扩展,并展示一些在托管代码应用程序中使用它的方法
firebird sql 常用语句
sanshou的专栏
03-08 5369
一、分页写法小例:  SELECT FIRST 10 templateid,code,name FROM template ;  SELECT FIRST 10 SKIP 10 templateid,code,name FROM template ;  SELECT * FROM shop ROWS 1 TO 10;  --firebird2.0支持这种写法二、显示表名和表结构SHOW TABLES;     SHOW TABLE tablename;三、使用ISQL连接数据库  firebird%92bi
C# FireBird 工具类
03-05
C# FireBird 工具类 封装对FireBird数据库的所有操作,例如建立连接,返回DataSet,返回DataReader等
C#Sql Server 设置IN查询方法内的参数,固定参数、动态参数以及通过分隔含有逗号隔开的字符串转数据集
小5聊的博客
07-08 5411
在平时使用sql语句查询时,in查询肯定少不了,多数用于一些数据统计或者测试类。in查询并不建议放到实际常用的查询列表里。 此篇文章主要简单聊聊,in查询方法内的参数设置方式,以及通过分隔函数将含有逗号隔开的字符串转为数据集进行查询
C# 参数SQL
Hoxily的窝窝
03-13 2320
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,
关于SQLite 与 FireBird 利弊分析
蓝叶菱的专栏
05-25 1万+
经查阅网上资料:  一、关于数据库简介:  SQLite    主页:http://www.sqlite.org  SQLite诞生于2000年5月,这几年增长势头迅猛无比,目前版本是3.3.8。  SQLite的特点如下:  1、无需安装配置,应用程序只需携一个动态链接库。  2、非常小巧,For Windows 3.3.8版本的DLL文件才374KB。  3
Mybatis指定sql入参的方式,${}和#{}的区别
m0_53881899的博客
09-15 856
动态代理之—Mybatis指定sql入参的方式,@Param指定参数,map指定参数。${}和#{}的区别
使用FireBird数据库基本知识
热门推荐
不敲代码的码农的博客
10-27 2万+
1.进安装目录bin文件夹,如果是3.0版本到根目录即可 2.数据库用户管理,使用命令:gesc -user sysdba - password masterkey    添新用户:add huiqing -pw 123456 3.操作数据库:isql -user sysdba -password masterkey    创建数据库;create database 'c:\test.f
c#中执行sql语句时传递参数的小经验
weixin_30292843的博客
04-25 304
c#中与数据库打交道,免不了要用到各种sql语句,而给sql语句参数也是不可避免的。以下是我在此方面上的一点总结(高手勿见笑):1> 直接写入法: 例如: intId =1; string Name="lui"; cmd.CommandText="insert into TUserLogin values...
c#中执行sql语句时传递参数
weixin_30547797的博客
12-12 563
采用SqlClient方式连接数据库: intId=1;stringName="lui";//语句中直接在sql语句中写添参数名,不论参数类型都是如此.SqlCommand cmd = new SqlCommand("",connection1);cmd.CommandText="insertintoTUserLoginvalues(@Id,@Na...
SqlCommand执行参数sql语句
weixin_34228387的博客
08-09 484
SqlCommand执行参数sql语句: 一:使用拼接的Sql语句,可以用SqlCommand执行 /// <summary> /// 根据姓名查是否在数据库中存在该姓名 /// </summary> /// <param name="name"></param> /// <re...
firebird2.0 sql语句
最新发布
08-15
- *1* [firebird sql 常用语句](https://blog.csdn.net/sanshou/article/details/6231639)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值