c# mysql 增删改查 避免sqlparameter_SqlParameter 实现数据库的插入操作,防止sql注入。...

最新推荐文章于 2023-04-17 16:48:25 发布
最新推荐文章于 2023-04-17 16:48:25 发布
阅读量185 收藏
点赞数
文章标签: c# mysql 增删改查 避免sqlparameter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39525307/article/details/113911174
版权

usingSystem;usingSystem.Collections.Generic;usingSystem.Linq;usingSystem.Web;usingSystem.Web.UI;usingSystem.Web.UI.WebControls;usingSystem.Text;usingSystem.Data.SqlClient;usingSystem.Data;usingSystem.Configuration;namespaceParaMeter

{public partial classTest : System.Web.UI.Page

{private string connectionStr; //链接数据库的字符串

private SqlConnection conDB; //数据库的链接

private SqlTransaction _trans; //事务对象

protected void Page_Load(objectsender, EventArgs e)

{//connectionStr = ConfigurationSettings.AppSettings["constr"];

connectionStr = "server=10.11.43.189\\SQL2008;database=OA_WEB_DB;uid=sa;pwd=123456";

conDB= newSqlConnection(connectionStr);

}protected void Button1_Click(objectsender, EventArgs e)

{

StringBuilder strSql= newStringBuilder();

strSql.Append("INSERT INTO [OA_WEB_DB].[dbo].[OA_RT_FileType]([FileTypeName],[Deleted])");

strSql.Append("VALUES(@fileName,@delete)");

SqlParameter[] parameters={new SqlParameter("@fileName", SqlDbType.NVarChar,100),new SqlParameter("@delete",SqlDbType.Bit),

};

parameters[0].Value = "文件类型";

parameters[1].Value = false;bool IsSucc =ExecUpdateSql(strSql.ToString(), parameters);if(IsSucc)

{

Label1.Text= "插入成功";

}else{

Label1.Text= "插入失败";

}

}///执行一条更新语句///

/// 需要执行的SQL语句。

/// 执行参数数组

/// 成功返回True,失败返回False。

private bool ExecUpdateSql(string SQLString, paramsSqlParameter[] cmdParms)

{using (SqlCommand cmd = newSqlCommand())

{try{

PrepareCommand(cmd, conDB, _trans, SQLString, cmdParms);int iret =cmd.ExecuteNonQuery();return true;

}catch(System.Data.SqlClient.SqlException e)

{return false;

}

}

}private void PrepareCommand(SqlCommand cmd, SqlConnection conn, SqlTransaction trans, stringcmdText, SqlParameter[] cmdParms)

{if (conn.State !=ConnectionState.Open)

conn.Open();

cmd.Connection=conn;

cmd.CommandText=cmdText;if (trans != null)

cmd.Transaction=trans;

cmd.CommandType= CommandType.Text;//cmdType;

if (cmdParms != null)

{foreach (SqlParameter parameter incmdParms)

{if ((parameter.Direction == ParameterDirection.InputOutput || parameter.Direction == ParameterDirection.Input) &&(parameter.Value== null))

{

parameter.Value=DBNull.Value;

}

cmd.Parameters.Add(parameter);

}

}

}

}

}

weixin_39525307
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySqlParameter_防注入参数配置
againknow的博客
12-27 1366
MySqlParameter_防注入参数配置
c# mysql 增删改查 避免sqlparameter_用C#实现对MSSqlServer数据库增删改查---DAL层
weixin_32491255的博客
02-23 160
说明:本人完成的工作是对传感器--超声波物位计的数据进行采集,并将其存到数据库中,针对此传感器数据在数据库中的增删改查/*----------------------------------------------------------------//Copyright(C)2013*******//版权所有。////文件名:WaterLevelDao.cs//文件功能描述:定义水位计设置信息相...
C#返回mysql查询结果_C#处理MySql多个返回集
weixin_39625975的博客
01-26 219
关于Mysql返回多个集java和Php的较多,但是C#的完整代码好像没见过,研究了一下做个封装以后用做一个Mysql的简单分页查询,有两个返回集Sql语句如下SELECT COUNT(*) fromposter;selectt.PosterID,t.PostTime,t.Titlefrom app_us_poster t ORDER BY t.PostTime desc LIMIT startP...
C#MySQL 参数化查询类 防止SQL注入
一只没有感情的AI机械猿
04-17 542
【代码】C#MySQL 参数化查询类 防止SQL注入
C#SqlParameter的作用与用法
热门推荐
且听风吟的专栏
10-20 8万+
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13
c#几种数据库的大数据批量插入SqlServer、Oracle、SQLite和MySql
09-01
以下是对这四种数据库批量插入操作的详细讲解: 1. **SQL Server批量插入** SQL Server提供了`SqlBulkCopy`类,它允许高效地将大量数据从一个数据源(例如`DataTable`)复制到SQL Server表。以下是一个简单的`...
软件编程 C# SQL数据库
最新发布
12-25
SqlCommand中添加SqlParameter,将值传递给SQL语句。 5. **事务处理**:对于需要原子性的操作,可以使用SqlTransaction对象来管理一组操作。如果任何操作失败,所有更改都将回滚,确保数据一致性。 6. **数据绑定*...
自动生成SQL语句_C#_sql_
09-30
同时,使用SqlParameter来传递参数,可以防止SQL注入攻击。 四、动态SQL与存储过程 1. 动态SQL:在C#中,你可以使用字符串操作生成动态SQL语句,这在需要根据条件生成不同结构的SQL时非常有用。例如,你可以根据...
shujujiaohuan.rar_c# 数据库
09-21
8. **异步数据库操作**:在现代C#中,使用`async/await`关键字可以实现异步数据库操作,提高应用程序的响应速度,特别是在UI线程上执行长时间运行的数据库操作时。 9. **错误处理和日志记录**:在与数据库交互时,...
MySql.Data.zip
10-26
MySql.Data是MySQL的.NET数据提供程序,它实现了ADO.NET接口,使得.NET开发者能够通过C#、VB.NET等语言方便地连接、查询和操作MySQL数据库。它包括诸如 MySqlConnection、MySqlCommand、MySqlDataAdapter、...
C#SQL注入SqlParameter参数化
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = select * from user where username=' + username + ' and password=' + password + '; 所以我们必须丢弃上面这种方式,使用SqlParameter进行参数化,这样才能提升代码健壮性 SqlCommand cmd = new SqlCommand(); cmd.Comman
C#SQL注入代码的三种方法
09-04
主要介绍了C#SQL注入代码的三种方法,有需要的朋友可以参考一下
Mysql使用insert插入多条记录 批量新增数据
12-16
如果要向table1中插入5条记录,下面写法是错误的: INSERT INTO table1 (id,name) VALUES(1,小明,2,小强,3,小杜,4,小李,5,小白); MySQL将会抛出下面的错误 ERROR 1136: Column count doesn't match value count at row 1 而正确的写法应该是这样: INSERT INTO t able1(i,name) VALUES(1,'小明'),(2,'小强'),(3,'小杜'),(4,'小李'),(5,'小白'); 当然,这种写法也可以省略列名,这样每一对括号里的值的数目必须一致,而且这个数
mysql学习笔记(一)之mysqlparameter
luquansen的专栏
02-23 2万+
mysql学习笔记(一)之mysqlparameter 在.net中操作数据库的时候。 大家都喜欢用sqlparameterparameter是预编译的,可以加快速度,也可以防注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,
c# mysql 增删改查 避免sqlparameter_C#数据库操作增删改查
weixin_34781110的博客
02-23 140
1、【在web.config文件中配置】2、【连接字符串】private static readonly string StrCon = ConfigurationManager.ConnectionStrings["sqlConnection"].ToString();3、【查询数据方法】 /// /// 查询数据/// /// 查询语句/// 参数/// public static DataT...
mysql idataparameter_C#SqlParameter类的使用方法小结
weixin_39613712的博客
01-27 480
c#中执行sql语句时传递参数的小经验1、直接写入法:例如:int Id =1;string Name="lui";cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')";因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"即可实现,而 Name是字符串,所以在传递的时候还需要在"+Name+"两边...
MySqlMySqlParameter的用法
万里归来少年心
09-29 1万+
c#中,向表person插入一条数据(表person包括两列:id和name),使用MySqlParameter定义表中各列的值。 static void Main(string[] args) { string connectionString = "Server='localhost';Database='test';UId='root';Password='1...
c# mysql mysqlparameter_C#使用预处理SQL语句访问MySQL的方法(Parameter)
weixin_42413747的博客
02-04 849
代码:MySqlConnection con = null;MySqlCommand cmd = null;string nameStr = "Sample value passed \”";con = new MySqlConnection("server=localhost;database=db_name;uid=user;pwd=password;pooling=false;");con....
C#操作SQLServer连接数据库增删改查
06-01
好的,下面是C#操作SQLServer连接数据库增删改查的一些基本步骤: 1. 首先需要引用System.Data.SqlClient命名空间。 2. 在代码中创建SqlConnection对象,设置连接字符串,如下所示: ``` string connectionString = "Data Source=服务器名;Initial Catalog=数据库名;User ID=用户名;Password=密码"; SqlConnection conn = new SqlConnection(connectionString); ``` 3. 打开数据库连接: ``` conn.Open(); ``` 4. 执行SQL语句,可以使用SqlCommand对象,如下所示: ``` string sql = "SELECT * FROM 表名"; SqlCommand cmd = new SqlCommand(sql, conn); ``` 5. 执行增删改操作,可以使用ExecuteNonQuery方法,如下所示: ``` string sql = "INSERT INTO 表名(字段1, 字段2) VALUES (@参数1, @参数2)"; SqlCommand cmd = new SqlCommand(sql, conn); cmd.Parameters.AddWithValue("@参数1", "值1"); cmd.Parameters.AddWithValue("@参数2", "值2"); cmd.ExecuteNonQuery(); ``` 6. 执行查询操作,可以使用ExecuteReader方法,如下所示: ``` string sql = "SELECT * FROM 表名"; SqlCommand cmd = new SqlCommand(sql, conn); SqlDataReader reader = cmd.ExecuteReader(); while (reader.Read()) { // 读取数据 } reader.Close(); ``` 7. 关闭数据库连接: ``` conn.Close(); ``` 这些是基本的操作步骤,你可以根据具体的需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值