ado的mysql参数化_ADO.NET 参数化查询

最新推荐文章于 2021-03-03 16:04:24 发布
最新推荐文章于 2021-03-03 16:04:24 发布
阅读量377 收藏
点赞数
文章标签: ado的mysql参数化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34006872/article/details/113353628
版权

参数化查询

使用参数化查询的情景有很多,但最常用的情景是需要用户在查询中进行输入的情况。

有两种方法可供使用。第一,可以讲用户输入嵌入到查询字符串中,例如可能使用.NET Framework中的String.Format函数。

第二种方法是构造一种参数化查询。

在开始时执行如下所示的基本查询:

1 select count(*) fromUserInfo2

3

4      where UserName=‘{0}’ and PassWord=‘{1}’

然后利用用户的输入构造如下查询:

1 select count(*) fromUserInfo

2

3

4      where UserName=‘myUserName’ and PassWord=‘myPassWord’’

如果对正在执行的查询有一些了解,输入如下内容:NonUser' or 1=1 --,那么代码就会执行如下查询。

1 select count(*) fromUserInfo

2

3

4      where UserName=‘NonUser' or 1=1 --" and PassWord=‘myPassWord’’

双连字符在SQL Server的查询语法中特别重要。它表示:该行后面的内容是注释。换句话说,and PassWord=‘myPassWord’被忽略了。

现在,UserName=‘NonUser'并不成立,但where子句的另一半(1=1)对于所有行均成立。因此,该查询将成功执行。

使用参数化查询。

代码示例:

1        SqlConnectionStringBuilder connstr = newSqlConnectionStringBuilder();2

3 connstr.DataSource = "ZHANG-PC";4

5 connstr.InitialCatalog = "sq";6

7 connstr.IntegratedSecurity = true;8

9 using (SqlConnection conn = newSqlConnection(connstr.ConnectionString))10 {11

12 conn.Open();13

14 SqlCommand cmd = newSqlCommand();15

16 cmd.CommandText = "select count(*) from UserInfo where UserName=@username and PassWord=@password";17

18 cmd.Parameters.AddWithValue("@username","zyb12345");19

20 cmd.Parameters.AddWithValue("@password","654321");21

22 cmd.Connection =conn;23

24 SqlDataReader read =cmd.ExecuteReader();25

26 while(read.Read())27 {28

29 Console.WriteLine("userName:{0}", read.GetString(0));30

31 }32

33 conn.Close();34

35 }

在ADO.NET中执行一个参数化查询,需要向Command对象的Parameters集合中添加Parameters对象。生成Parameters最简单的方法是:

调用SqlCommand对象的Parameters集合的AddWithValue函数。

1 SqlCommand的Parameters集合中的AddWithValue方法。2

3 cmd.Parameters.AddWithValue("@username","zyb12345");4

5 cmd.Parameters.AddWithValue("@password","654321");

或者

1 SqlParameter[] p = new SqlParameter[2];2

3 p[0].ParameterName = "@username";4

5 p[0].Value = "zyb12345";6

7 p[1].ParameterName = "@password";8

9 p[1].Value = "654321";10

11 cmd.Parameters.AddRange(p);12

13 SqlDataReader read = cmd.ExecuteReader();

参数数据类型

可以设置SqlParameters对象的SqlDbType属性,以控制在向SQL Server数据库中传递参数信息时所使用的数据类型,即SqlDbType枚举中的值。

SqlDbType的枚举值有:Int,DateTime,Bit,Money,Image,NVarChar等,在下面的示例中,NVarChar对应的是.NET中的string类型。size(即15)代表字符串的长度,可根据需要设置size的值。

1 SqlParameter p;2 p = new qlParameter("@username",SqlDbType.NVarChar,15);3 p.Value = "zyb12345";

参数方向

在本例中Sqlparameters是输入参数,有时需要输出参数,这时就要设置SqlParameter的参数方向了。此时不需要设置Value属性。代码如下:

1 SqlParameter w;2

3 w = cmd.Parameters.Add("@username", SqlDbType.NVarChar);4

5 w.Direction =ParameterDirection.Output; //设置参数方向6

7 cmd.ExecuteNonQuery(); //执行语句8

9 Console.Write(w.Value);                   //获取输出值(执行完数据查询后才能获取Value值)

李念橙橙
关注
MySql.Data.zip_mysql vb.net_vb mysql_vb.net mysql
09-24
此外,`MySqlCommand` 还支持参数化查询,以防止 SQL 注入攻击,提高代码安全性。例如: ```vb.net Dim cmd As New MySqlCommand("SELECT * FROM mytable WHERE id = @id", conn) cmd.Parameters.AddWithValue("@id...
adomysql参数化_mysql – SQL参数化:这是如何在幕后工作的?
weixin_34160181的博客
03-03 112
SQL参数化现在是一个热门话题,对于a good reason而言,除了正确地逃避之外它真的做了什么吗?我可以想象一个参数化引擎只是在将数据插入查询字符串之前确保数据被正常转义,但这真的是它的全部功能吗?在连接中做一些不同的事情会更有意义,例如:像这样:> Sent data. Formatting: length + space + payload< Received data---...
adomysql参数化_ADO参数化(VBA)
weixin_29671351的博客
02-06 253
ADO参数化的好处避免SQL注入攻击;2. 省去SQL字符串拼接;3. 避免出错方式一Dim cn As ADODB.ConnectionDim rs As ADODB.RecordsetDim cmd As ADODB.CommandDim param As ADODB.ParameterDim Sql As Stringsql = "Select * From tb Where userNam...
.net / MySQLHelper
我想我是海 冬天的大海 心情随风轻摆
01-06 6100
MySql确实轻盈小巧, 整个 MySql.Data.dll 才427KB, 比起 Oracle 一百多MB,dll也得加上4、5个来真算得上轻量级了! 此外, 其实每种 Helper 其实都是差不多的, 只是换了类名称。可以考虑写个一统天下的Helper , 只不过同时用到的情况比较少, 而且Oracle比较庞大, 如果用不着而挂着就比较累赘了。 1. MySQLHelper.cs
adomysql参数化_ADO.NET基础参数化SQL查询
weixin_42298415的博客
03-03 270
参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。说起参数化查询当然最主要的就是如何构造所谓的参数:比如,我们登陆时需要密码和用户名,...
adomysql参数化_在ADO.NET中使用参数化SQL语句的大同小异
weixin_39661405的博客
01-26 74
usingSystem;usingSystem.Data;usingSystem.Configuration;usingSystem.Web;usingSystem.Web.Security;usingSystem.Web.UI;usingSystem.Web.UI.WebControls;usingSystem.Web.UI.WebControls.WebParts;usingSystem.We...
VB_MySQL_connectDB.rar_VB 数据库_vb ado_vb mysql_vb mysql ado_vb 访问
09-20
7. **参数化查询**:防止SQL注入的安全做法,通过使用参数而不是直接拼接字符串来构建SQL命令。 8. **错误处理**:在VB中,应使用Try...Catch结构来捕获和处理可能出现的数据库访问错误,确保程序的健壮性。 9. **...
ado_link_mysql.rar_delphi 驱动安装
最新发布
09-23
5. `ado_link_mysql.dpr` - Delphi应用程序的主程序文件,通常包含项目启动点和初始化代码。 6. `ado_link_mysql.exe` - 编译后的可执行文件,即运行时的应用程序。 7. `Unit1.pas` - Delphi源代码文件,很可能包含...
Ado Class.rar_A set of Ado Class_ADO_ADO CLASS
09-22
6. 参数化查询:支持使用参数化查询,提高代码的安全性,防止SQL注入攻击。 7. 批量操作:可能提供批量插入、更新或删除数据的功能,提高数据处理效率。 8. 兼容性:可能兼容多种数据库系统,如Microsoft SQL ...
LabSQL-ADO-functions.rar_ADO_ADO数据库_LabSQL ADO Functions_LabVIEW
07-15
8. **兼容性**:ADO支持多种数据库系统,如Microsoft SQL Server、Oracle、MySQL等,这意味着LabVIEW应用程序可以轻松地切换到不同的数据库平台,而无需大幅度修改代码。 9. **StruckGX5**标签可能指的是一个特定的...
Sql Server参数化查询之where in和like实现详解
05-31
此文档中详细的记载了,Sql Server参数化查询之where in和like实现详解,希望可以帮到下载的朋友们!
Ado.Net SQL语句参数化(SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5481
Ado.Net中SQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
ADO.NET基础琐碎总结-----参数化查询(有修改)
sun__flow的专栏
04-23 711
参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。       说起参数化查询当然最主要的就是如何构造所谓的参数:比如,我们登陆时需
ADO中怎么使用参数化查询
u011300819的博客
05-24 2006
C/C++ code ? 1 2 3 4 5 6 7 8 //Command因为参数无法清空,不太好操作,所以在此使用实时创建 _CommandPtr pCmd(__uuidof(Command)); pCmd->ActiveConnection=m_conn; pCmd->Command
简述ADO中如何使用参数化的命令对象以及增删改查,存储过程的操作
weixin_30266885的博客
12-21 251
连接数据库代码: private SqlConnection con = null; public void OpenConnection(string connectionString) { con = new SqlConnection(); con.ConnectionString = conn...
ADO.NET中用参数化查询缩短开发时间
sinodier的专栏
09-13 383
一段时间以来,存储过程一直是企业应用程序开发数据访问的首选方法。存储过程的安全性更高、封装能力更强,并能执行复杂的逻辑,且不会打乱应用程序代码。但是,它也存在一些缺点: • 开发者倾向于在存储过程中加入商业逻辑。 • 更改过程时必须改变开发环境。 • 查找过程所需的参数比较费时。 • 许多时候,存储过程提供的功能超出所需。   嵌入到应用程序代码中的内联SQL代码是数据访问的另
ado.net参数化查询
Finder_Way
10-25 1580
在 Web 应用程序的开发过程中,Web 安全是非常重要的,现存的很多网站也都存在一 些非常严重的安全漏洞,其中SQL 注入是非常常见的漏洞,如果将查询语句进行参数化查 询,可以减少SQL 注入漏洞的概率,参数化查询示例代码如下所示。 string strsql = "select * from mynews where id= @id" 上述代码使用了参数化查询,在存储过程中,参数化
ADO.NET基础琐碎总结-----参数化查询
weixin_34306446的博客
04-02 129
       参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。       说起参数化查询当然最主要的就是如何构造所谓的参数:比如...
ADO.NET参数化查询:防御SQL注入
"参数化查询是数据库访问技术中的一种安全措施,主要应用于ADO.NET框架。通过使用参数化查询,可以防止SQL注入攻击。原理在于,参数化的SQL语句在执行前已被数据库编译,参数值在运行时再绑定,因此恶意SQL代码无法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值