参数化sql命令--来自SqlHelper

最新推荐文章于 2021-01-19 05:56:39 发布
最新推荐文章于 2021-01-19 05:56:39 发布
阅读量84 收藏 1
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/s-bridge/archive/2012/06/24/2559757.html
版权

1、数据库操作函数

using System.Data.SqlClient;

/// <summary>
    /// 连接数据库
    /// </summary>
    /// <returns>返回SqlConnection对象</returns>
    public SqlConnection GetConnection()
    {
        //conn、ConnectionString在web.config
        //string myStr = ConfigurationManager.AppSettings["ConnectionString"].ToString();
        string myStr = ConfigurationManager.ConnectionStrings["conn"].ConnectionString;
        SqlConnection myConn = new SqlConnection(myStr);
        return myConn;
    }
/// <summary>
    ///执行一条不返回结果的SqlCommand,通过一个已经存在的数据库连接 
    /// 使用参数数组提供参数
    /// </summary>
    /// <remarks>
    /// 使用示例:  
    ///  int result = ExecuteNonQuery(CommandType.StoredProcedure, "PublishOrders", new SqlParameter("@prodid", 24));
    /// </remarks>
    /// <param name="conn">一个现有的数据库连接</param>
    /// <param name="commandType">SqlCommand命令类型 (存储过程, T-SQL语句, 等等。)</param>
    /// <param name="commandText">存储过程的名字或者 T-SQL 语句</param>
    /// <param name="commandParameters">以数组形式提供SqlCommand命令中用到的参数列表</param>
    /// <returns>返回一个数值表示此SqlCommand命令执行后影响的行数</returns>
    public int ExecuteNonQuery(CommandType cmdType, string cmdText, params SqlParameter[] commandParameters)
    {
        SqlConnection myConn = GetConnection();
        SqlCommand cmd = new SqlCommand();
        PrepareCommand(cmd, myConn, null, cmdType, cmdText, commandParameters);
        int val = cmd.ExecuteNonQuery();
        cmd.Parameters.Clear();
        return val;
    }

/// <summary>
    /// 为执行命令准备参数
    /// </summary>
    /// <param name="cmd">SqlCommand 命令</param>
    /// <param name="conn">已经存在的数据库连接</param>
    /// <param name="trans">数据库事物处理</param>
    /// <param name="cmdType">SqlCommand命令类型 (存储过程, T-SQL语句, 等等。)</param>
    /// <param name="cmdText">Command text,T-SQL语句 例如 Select * from Products</param>
    /// <param name="cmdParms">返回带参数的命令</param>
    private static void PrepareCommand(SqlCommand cmd, SqlConnection conn, SqlTransaction trans, CommandType cmdType, string cmdText, SqlParameter[] cmdParms)
    {
        //判断数据库连接状态
        if (conn.State != ConnectionState.Open)
            conn.Open();
        cmd.Connection = conn;
        cmd.CommandText = cmdText;
        //判断是否需要事物处理
        if (trans != null)
            cmd.Transaction = trans;
        cmd.CommandType = cmdType;
        if (cmdParms != null)
        {
            foreach (SqlParameter parm in cmdParms)
                cmd.Parameters.Add(parm);
        }
    }

2、传入参数

using System.Data.SqlClient;
 
 sql="insert into record(company,cas_no_all,image_all,ip_addr,date,remarks)
     values(@company,@cas_no_all,@image_all,@ip_addr,@date,@remarks)";
 SqlParameter[] parameter = new SqlParameter[] { new SqlParameter("@company", SqlDbType.NVarChar), 
                new SqlParameter("@cas_no_all", SqlDbType.NVarChar), new SqlParameter("@image_all", SqlDbType.NText), 
                new SqlParameter("@ip_addr", SqlDbType.NVarChar), new SqlParameter("@date", SqlDbType.NVarChar), 
                new SqlParameter("@remarks", SqlDbType.NText) };

3、调用

ExecuteNonQuery(CommandType.Text, sql, parameter);

参考及SqlHelper延伸阅读(包括MySql):

http://baike.baidu.com/view/2765538.htm
参数化查询好处:
1、防止sql注入式攻击;
2、参数化查询可以查询或写入含有单引号的字符串;
...等等
延伸阅读:
http://baike.baidu.com/view/3061939.htm

转载于:https://www.cnblogs.com/s-bridge/archive/2012/06/24/2559757.html

weixin_30768661
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#三层架构数据库连接类SQLHelper,包含标准SQL参数化和存储过程
04-06
某个培训机构写的SQLHelper,现在分享出来,基于三层架构写的SQLHelper文件,包含标准SQL参数化和存储过程
参数化命令执行sql语句
MousseIn的博客
11-30 2618
参数化命令执行sql语句理解参数化指令的好处掌握使用参数化指令执行sql语句使用@构造参数化sql命令sqlParameter对象SqlParameter的属性使用SqlCommmand 执行参数化SQL的步骤 理解参数化指令的好处 防止sql注入 string sb = “SELECT *FROM admin WHERE loginid =’”+loginId+"‘AND loginPwd =’"+logingPwd+"’" string sb =“SELECT * FROM admin WHERE
SQL参数化
GaraMaps的博客
09-05 3003
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
参数化命令(防止SQL注入)
初学者
03-19 2599
1. 参数化命令相关知识点:(防止SQL注入) DAL类: public DataTable StudentDAL(string name,string gender) { string str="连接字符串"; using (SqlConnection con=new SqlConnection(str)) {
SQL语句参数化__封装
taodayenidaye的博客
11-22 5909
封装SQL语句参数化
SQLHelper sql,存储过程都支持
02-06
自己简化微软的SQLHelper,支持SQL 语句,同时又支持存储过程,全部参数化
自己用vb.net写的一个SQLServer的SQLHelper
10-25
所以特地用vb.net写了一个仅支持SQLServer的SQLHelper类以方便使用,没做修改直接上传,需要的童鞋欢迎下载,稍做修改即可适用于其他数据库:支持查询数据类命令和修改数据类命令,支持存储过程调用,支持参数化查询...
SQLHelper数据库操作组件
07-28
SqlHelper 封装过后通常是只需要给方法传入一些参数数据库连接字符串,SQL参数等,就可以访问数据库了,很方便。 SqlHelper 类用于通过一组静态方法来封装数据访问功能。该类不能被继承或实例化,因此将其声明为...
参数化查询原理
王如霜
02-08 6277
机房重构敲组合查询时,会遇到多个操作符(+、-、*、/),因为之前在使用参数化查询时只要遇到给数据库赋值时就使用参数,(光知道这样能防止SQL注入,直到如今才知道它为什么能防止SQL注入)索性就把操作符也用成参数,但这时就报“语法错误”了,可是解决了很长时间,老以为是sql语句写错了(自我认为是那种丢掉一个空格或引号之类的错误),其实是没真正理解之前听到到“防SQL注入”的原理,或是说为什么能“防
sql语句--参数化
Trival_dreamy的博客
11-30 1079
由于查询的时候,总要切换同一字段的值进行查询,所以可以设置一些字段,查询的时候根据字段进行查询 set @id=49183;SELECT * FROM table WHERE id=@id  
使用sqlhelper类查询时假如不需要参数化,那到时SqlParameter这个传参怎么处理
老菜鸟
08-07 2040
发表于: 2015-04-25 22:53:31 我在学写SqlHelper类。用SqlParameter【】数组做为参数。 我按条件查询时,可以弄个参数化 但是查询时假如并不需要参数化,那到时SqlParameter这个传参怎么处理 比如 查询语句是 “select*from Student”,并不需要写@id这种命令参数了。  但我定义的函数 ExecuteDa
params SqlParameter[] commandParameters
sdh_down的专栏
08-20 6524
C#代码   ExecuteReader(string connectionString, CommandType commandType, string commandText, params SqlParameter[] commandParameters)   以params声明的形参说明参数的个数是可选的,可以为0个或多个。 以params声明的形参中含一个参数数组,则该参数数组
mysql sql语句 参数化_参数化SQL语句
weixin_34632251的博客
01-19 591
避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
参数化SQL语句
weixin_30955617的博客
08-25 167
避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
参数化查询
nchu2020的专栏
03-05 1066
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行
DBHelper(使用参数化+事务查询和执行)
DK18397606232的博客
12-26 1489
using System; using System.Collections.Generic; using System.Data; using System.Data.Common; using System.Data.SqlClient; using System.Linq; using System.Text; using System.Threading.Tasks; namespac...
为什么要参数化执行SQL语句呢?
weixin_38170829的博客
08-18 234
C#参数化执行SQL语句,防止漏洞攻击本文以MYSQL为例【20151108非查询操作】 为什么要参数化执行SQL语句呢? 一个作用就是可以防止用户注入漏洞。 简单举个列子吧。 比如账号密码登入,如果不用参数, 写的简单点吧,就写从数据库查找到id和pw与用户输入一样的数据吧 sql:select id,pw where id='inputID' and pw='inpu...
SqlHelper数据库操作类
东亮博客
03-25 758
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data;using System.Configuration;using System.Collections;using System.Data.SqlClient;na
sqlhelper.cs
最新发布
09-18
3. 参数化查询:为了避免SQL注入等安全问题,sqlhelper.cs可能提供参数化查询的方法。通过将查询条件作为参数传入方法中,可以有效地防止恶意输入对数据库的破坏。 4. 事务处理:sqlhelper.cs还可以提供事务处理的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值