借用.net framework的string.Fromat(...),实现一个执行参数化SQL的方法

最新推荐文章于 2022-09-05 23:01:18 发布
最新推荐文章于 2022-09-05 23:01:18 发布
阅读量109 收藏
点赞数

1. 目的

          最近在做一个SQL操作类,大部分都是对SQLHelper做一下封装,最后希望实现一个可以执行参数化SQL的方法,SQL语句中允许像string.Format(formatStr,args)中的formatStr一样,用{0}{1}...作为参数格式,而实际将被转换为SQL参数化的格式,而SQL参数的值parameterValues最终将会被转换为合适类型的SqlParameter[]数组。

原型如下:

 

 1           public   object  SqlScalar( string  commandText,  params   object [] parameterValues)
  2          {
  3               if  (commandText  ==   null   ||  commandText.Length  ==   0 throw   new  ArgumentNullException( " commandText " );
  4              SqlCommand cmd  =  GetCommand(commandText);
  5               if  ((parameterValues  !=   null &&  (parameterValues.Length  >   0 ))
  6              {
  7                  SQlParameterFormatter formatter  =   new  SQlParameterFormatter();
  8                  formatter.Format(commandText, parameterValues);
  9                   return  ExecuteScalar(CommandType.Text, formatter.Sql, formatter.Parameters);
 10              }
 11               else
12              {
 13                   return  ExecuteScalar(CommandType.Text, commandText, (SqlParameter[]) null );
 14              }
 15              
 16          }

   

调用时:

object result  =  SqlScalar(" select  Fid  from  students  where  name = { 0 and  age = { 1 }", "靳同学",  20 );

 

而最终sql语句被转换为:

select  Fid  from  students  where  name = @arg__0   and  age = @arg__1

这样有个好处就是,可以避免SQL注入,而代码也很简洁。

 

2. 实现

     上面的SqlScalar方法中第7行,有一个重要的SQlParameterFormatter类,有两个属性:

public string Sql,public SqlParameter[] Parameters。这个个类负责格式化传入的复合参数的sql和值,处理后并赋值给属性SQL和Parameters

最初被想写一个正则表达式实现,突然想到string.Format(),的确很像,既然MS已经公布.net framework的源码,为何不借用一下呢?调出源码来看,还真不少。实际上string.Format()是调用了StringBuilder的AppendFormat()方法,来看看StringBuilder类的AppendFormat()

ContractedBlock.gif ExpandedBlockStart.gif Code
public StringBuilder AppendFormat(IFormatProvider provider, String format, params Object[] args) {
            if (format == null || args == null) {
                throw new ArgumentNullException((format==null)?"format":"args");
            } 
            char[] chars = format.ToCharArray(0, format.Length);
            int pos = 0
            int len = chars.Length; 
            char ch = '\x0';
 
            ICustomFormatter cf = null;
            if (provider!=null) {
                   cf=(ICustomFormatter)provider.GetFormat(typeof(ICustomFormatter));
                } 

            while (true) { 
                int p = pos; 
                int i = pos;
                while (pos < len) { 
                    ch = chars[pos];

                    pos++;
                    if (ch == '}'
                    {
                        if(pos < len && chars[pos]=='}'// Treat as escape character for }} 
                            pos++
                        else
                            FormatError(); 
                    }

                    if (ch == '{')
                    { 
                        if(pos < len && chars[pos]=='{'// Treat as escape character for {{
                            pos++
                        else 
                        {
                            pos--
                            break;
                        }
                    }
 
                    chars[i++= ch;
                } 
                if (i > p) Append(chars, p, i - p); 
                if (pos == len) break;
                pos++
                if (pos == len || (ch = chars[pos]) < '0' || ch > '9') FormatError();
                int index = 0;
                do {
                    index = index * 10 + ch - '0'
                    pos++;
                    if (pos == len) FormatError(); 
                    ch = chars[pos]; 
                } while (ch >= '0' && ch <= '9' && index < 1000000);
                if (index >= args.Length) throw new FormatException(Environment.GetResourceString("Format_IndexOutOfRange")); 
                while (pos < len && (ch=chars[pos]) == ' ') pos++;
                bool leftJustify = false;
                int width = 0;
                if (ch == ',') { 
                    pos++;
                    while (pos < len && chars[pos] == ' ') pos++
 
                    if (pos == len) FormatError();
                    ch = chars[pos]; 
                    if (ch == '-') {
                        leftJustify = true;
                        pos++;
                        if (pos == len) FormatError(); 
                        ch = chars[pos];
                    } 
                    if (ch < '0' || ch > '9') FormatError(); 
                    do {
                        width = width * 10 + ch - '0'
                        pos++;
                        if (pos == len) FormatError();
                        ch = chars[pos];
                    } while (ch >= '0' && ch <= '9' && width < 1000000); 
                }
 
                while (pos < len && (ch=chars[pos]) == ' ') pos++
                Object arg = args[index];
                String fmt = null
                if (ch == ':') {
                    pos++;
                    p = pos;
                    i = pos; 
                    while (true) {
                        if (pos == len) FormatError(); 
                        ch = chars[pos]; 
                        pos++;
                        if (ch == '{'
                        {
                            if(pos < len && chars[pos]=='{')  // Treat as escape character for {{
                                pos++;
                            else 
                                FormatError();
                        } 
                        else if (ch == '}'
                        {
                            if(pos < len && chars[pos]=='}')  // Treat as escape character for }} 
                                pos++;
                            else
                            {
                                pos--
                                break;
                            } 
                        } 

                        chars[i++= ch; 
                    }
                    if (i > p) fmt = new String(chars, p, i - p);
                }
                if (ch != '}') FormatError(); 
                pos++;
                String s = null
                if (cf != null) { 
                    s = cf.Format(fmt, arg, provider);
                } 

                if (s==null) {
                    if (arg is IFormattable) {
                        s = ((IFormattable)arg).ToString(fmt, provider); 
                    } else if (arg != null) {
                        s = arg.ToString(); 
                    } 
                }
 
                if (s == null) s = String.Empty;
                int pad = width - s.Length;
                if (!leftJustify && pad > 0) Append(' ', pad);
                Append(s); 
                if (leftJustify && pad > 0) Append(' ', pad);
            } 
            return this
        }

 

可以看出,这样处理效率还是蛮高的。

 

下面是我借用AppendFormat处理参数的方式来实现的SQlParameterFormatter类

ContractedBlock.gif ExpandedBlockStart.gif Code
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Data.SqlClient;
using System.Data;

namespace Jrt.Sql
{
    /// <summary>
    /// 作者:代码乱了(靳如坦) 2008-09-25
    /// </summary>
    public class SQlParameterFormatter
    {
        private string sql;
        public string Sql
        {
            get
            {
                return sql;
            }
        }

        private SqlParameter[] parameters;
        public SqlParameter[] Parameters
        {
            get
            {
                return parameters;
            }
        }


        private static void FormatError()
        {
            throw new FormatException("参数格式错误");
        }


        public void Format(String format, params Object[] args)
        {
            if (format == null || args == null)
            {
                throw new ArgumentNullException((format == null? "format" : "args");
            }
            List<SqlParameter> commandParameters = new List<SqlParameter>();
            StringBuilder sb = new StringBuilder();
            char[] chars = format.ToCharArray(0, format.Length);
            int pos = 0;
            int len = chars.Length;
            char ch = '\x0';

    
            while (true)
            {
                int p = pos;
                int i = pos;
                while (pos < len)
                {
                    ch = chars[pos];

                    pos++;
                    if (ch == '}')
                    {
                        if (pos < len && chars[pos] == '}'// Treat as escape character for }} 
                            pos++;
                        else
                            FormatError();
                    }

                    if (ch == '{')
                    {
                        if (pos < len && chars[pos] == '{'// Treat as escape character for {{
                            pos++;
                        else
                        {
                            pos--;
                            break;
                        }
                    }

                    chars[i++= ch;
                }
                if (i > p) sb.Append(chars, p, i - p);
                if (pos == len) break;
                pos++;
                if (pos == len || (ch = chars[pos]) < '0' || ch > '9') FormatError();
                int index = 0;
                do
                {
                    index = index * 10 + ch - '0';
                    pos++;
                    if (pos == len) FormatError();
                    ch = chars[pos];
                } while (ch >= '0' && ch <= '9' && index < 1000000);
                if (index >= args.Length) throw new FormatException("索引(从零开始)必须大于或等于零,且小于参数列表的大小。");
                while (pos < len && (ch = chars[pos]) == ' ') pos++;
                bool leftJustify = false;
                int width = 0;
                if (ch == ',')
                {
                    pos++;
                    while (pos < len && chars[pos] == ' ') pos++;

                    if (pos == len) FormatError();
                    ch = chars[pos];
                    if (ch == '-')
                    {
                        leftJustify = true;
                        pos++;
                        if (pos == len) FormatError();
                        ch = chars[pos];
                    }
                    if (ch < '0' || ch > '9') FormatError();
                    do
                    {
                        width = width * 10 + ch - '0';
                        pos++;
                        if (pos == len) FormatError();
                        ch = chars[pos];
                    } while (ch >= '0' && ch <= '9' && width < 1000000);
                }

                while (pos < len && (ch = chars[pos]) == ' ') pos++;
                Object arg = args[index];
                String fmt = null;
                if (ch == ':')
                {
                    pos++;
                    p = pos;
                    i = pos;
                    while (true)
                    {
                        if (pos == len) FormatError();
                        ch = chars[pos];
                        pos++;
                        if (ch == '{')
                        {
                            if (pos < len && chars[pos] == '{')  // Treat as escape character for {{
                                pos++;
                            else
                                FormatError();
                        }
                        else if (ch == '}')
                        {
                            if (pos < len && chars[pos] == '}')  // Treat as escape character for }} 
                                pos++;
                            else
                            {
                                pos--;
                                break;
                            }
                        }

                        chars[i++= ch;
                    }
                    if (i > p) fmt = new String(chars, p, i - p);
                }
                if (ch != '}') FormatError();
                pos++;

                if (arg==null)
                {
                    arg = DBNull.Value;
                }
                String parameterName = null;
                parameterName = "@arg__" + index.ToString();
                SqlParameter para = new SqlParameter();
                para.ParameterName = parameterName;
                para.SqlDbType = ConvertSqlType(arg.GetType());
                para.Value = arg;
                commandParameters.Add(para);

                int pad = width - parameterName.Length;
                if (!leftJustify && pad > 0) sb.Append(' ', pad);
                sb.Append(parameterName);
                if (leftJustify && pad > 0) sb.Append(' ', pad);
            }
            this.parameters = commandParameters.ToArray();
            this.sql = sb.ToString();
        }
        public static SqlDbType ConvertSqlType(Type type)
        {
            switch (type.FullName.ToLower())
            {
                case "system.int64":
                case "system.uint64":
                    return SqlDbType.BigInt;
                case "system.boolean":
                    return SqlDbType.Bit;
                case "system.datetime":
                    return SqlDbType.DateTime;
                case "system.decimal":
                    return SqlDbType.Decimal;
                case "system.double":
                    return SqlDbType.Float;
                case "system.int32":
                    return SqlDbType.Int;
                case "system.single":
                    return SqlDbType.Real;
                case "system.int16":
                    return SqlDbType.SmallInt;
                case "system.byte":
                    return SqlDbType.TinyInt;
                case "system.sbyte":
                    return SqlDbType.Bit;
                case "system.guid":
                    return SqlDbType.UniqueIdentifier;
                case "system.byte()":
                    return SqlDbType.VarBinary;
                case "system.string":
                case "system.text":
                    return SqlDbType.VarChar;
                case "system.char":
                    return SqlDbType.Char;
                case "system.object":
                    return SqlDbType.Variant;
                default:
                    throw new ArgumentOutOfRangeException();
            }
        }
    }
}

 

 

只是一个想法而已,没有用在实际项目中, 欢迎大家拍砖

weixin_33810302
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
String.format详解
09-08 1713
目录                               一、前言 二、重载方法 三、占位符 四、对字符、字符串进行格式化 五、对整数进行格式化 六、对浮点数进行格式化 七、对日期时间进行格式化 八、其他转换符 九、总结 参考 一、前言                             String.format作为文本处理工具,为我们提供强大而丰富的字符串格式化功能,为了不...
Java:String.format()的简单用法介绍
热门推荐
坤舆湖畔的万某某的博客
03-30 1万+
详细说明,代码举例!
字符串的参数化问题
huiguiziran111的专栏
06-30 410
小记录:Mark1: 字符串的参数化问题 解决问题:解决了定义变量参数后,加密的时候出现秘钥异常的情况。 解决方法:原来是需要加入一个json.dumps就可以进行json格式的参数化了。 data2= { "pas " : "123456", "userId" :user_id } data_value=json.dumps(data2) login = dataValue_encr(data_value) #数据加密 Mark2:web端的ajax请求返回值中state的类型不一致 .
ASP.NET设置数据格式与String.Format使用总结
风来西林
03-13 132
{0:d} YY-MM-DD{0:p} 百分比00.00%{0:N2} 12.68{0:N0} 13{0:c2} $12.68{0:d} 3/23/2003{0:T} 12:00:00 AM{0:男;;女} DataGrid-数据格式设置表达式 数据格式设置表达式 .NET Framework 格式设置表达式,它在数据显示在列中之前先应用于数据。此表达式由可选静态文本和用以下格式表示的格式说明...
asp.net的简易的参数化查询
weixin_30791095的博客
04-07 227
1 protected void btnInsert_Click(object sender, EventArgs e) 2 { 3 string sql = "insert into contactgroup(groupname,memo) values(@groupName,@memo)"; 4 string groupNam...
C#的StringBuilder 类使用说明
零点工程师的博客
09-05 3717
C#的StringBuilder 类使用说明
踩坑日记:关于String.Fromat()的使用
YangZ的博客
09-29 2124
版权声明:本文为博主原创文章,未经博主允许不得转载:https://mp.csdn.net/postedit/82888317 今天遇到一个问题,在资源文件中写了一行 <string name="yangzhan">dage: %2d\%</string> 然后在代码中调用 String.format(getResources().getString(R.s...
给我讲一下{0:2}.fromat('dal','akdla','dkajl')
最新发布
05-12
这是Python中的字符串格式化方法之一,它的作用是将指定的参数按照指定的格式插入到字符串中的占位符位置。 在这个例子中,"{0:2}"表示字符串中的第一个占位符,冒号后面的2表示该占位符的宽度为2个字符。紧接着是....
Convert excel format exception.You can try specifying the ‘excelType‘ yourself
m0_67394360的博客
03-08 1040
@ApiOperation(value = "楼栋基本信息", notes = "需要登录。请求头携带Authorization字段") @ApiImplicitParams({ @ApiImplicitParam(name = "excelFile", value = "excel文件", required = true, dataType = "int", paramType = "query") }) @ApiResponses({ ...
C#【基础篇】StringBuilder的使用
星Yeah 的博客
01-26 2445
一、使用背景: String 对象是不可改变的。每次使用 System.String 类中的方法之一时,都要在内存中创建一个新的字符串对象,这就需要为该新对象分配新的空间。 在需要对字符串执行重复修改的情况下,与创建新的 String 对象相关的系统开销可能会非常昂贵。如果要修改字符串而不创建新的对象,则可以使用 System.Text.StringBuilder 类。 例如,当在一个循环中将许多字符串连接在一起时,使用 StringBuilder 类可以提升性能。 二、
String里的format在sql中的妙用
思考的蜗牛
02-18 5264
今天看代码的时候,突然看到一句很奇怪的sql String.format("select authtellerno,authtellerno2 from %s where fserialno=:fserialno and workdate=:workdate and authtellerno is not null",ITableName) 然后我很茫然其中的%s是做什么的,后来才发现%s的
c#防止sql注入,使用参数化,而不是字符串连接
图纸的博客
08-22 1351
SqlConnection conn = new SqlConnection("连接数据库的字符串"); SqlCommand comm = new SqlCommand("select * from user where user=@user and pass=@password", conn); SqlParameter parm1 = new SqlParameter("@...
SQL Server中 select from语句后加一个字母所代表的的内涵。
weixin_41620053的博客
02-01 4222
select * from tb_employeePay08 a where 基本工资= (select MIN(基本工资) from tb_employeePay08 b where a.部门=b.部门 and 职务='经理') 上述语句中的a或b是什么意思?代表 tb_employeepay08数据表,还是代表整个select from语句?
详解C#string.Format性能
你的骄傲、虽败犹荣
01-13 4792
大家使用String.Format需要注意的一下性能问题。 以前的我总是觉得String.Format用起来非常方便,比+号拼接好多了,久而久之就习惯了用String.Format这种方式去拼接字符串。今天闲来无聊,就具体得了解了一下String.Format。我这里使用的是反编译工具(Reflector),那么现在就一起去探索一下String.Format这个方法吧。 通过反编译工具查看之后
c#中使用stringbuilder的Append方法sql语句
qq_26925297的博客
08-12 6232
(1)String 类的对象是不可改变的。每次使用 System.String 类中的方法之一时,都要在内存中创建一个新的字符串对象,这就需要为该新对象分配新的空间。在需要对字符串执行重复修改的情况下,与创建新的 String 对象相关的系统开销可能会非常昂贵。所以如果我们在一个循环中进行字符的拼接的话可以使用stringbuilder,提升性能。 (2)Append 方法可用来将文本或对象的字...
format() java_java中string.format("%14d",year),是什么意思
weixin_36323859的博客
02-12 184
public static Stringformat(String format,Object... args)使用指定的格式字符串和参数返回一个格式化字符串。就是说,GetSqL("提前恢复快讯绿签.txt")这个函数会返回一个“格式字符串”来作为格式标准,后面的strQuery是指格式字符串中由格式说明符引用的参数可以参考API文档:formatpublic static Stringform...
C#参数化SQL查询
weixin_30628801的博客
11-07 359
//写一个存储过程 ALTER PROCEDURE dbo.Infosearch ( @bmid smallint = null, @xm varchar(10)=null, @xb varchar(10)=null, @strage smallint=null, @endage smallint=null, ...
参数化查询
nchu2020的专栏
03-05 1185
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值