为什么要参数化执行SQL语句呢?
一个作用就是可以防止用户注入漏洞。
简单举个列子吧。
比如账号密码登入,如果不用参数,
写的简单点吧,就写从数据库查找到uname
和pw
与用户输入一样的数据吧
sql:select uname,pw where uname='inputID' and pw='inputPW';
一般情况没什么问题,但如果用户输入的uname或PW带 ‘ ,这是可能就会出现漏洞,bug了
比如用户输入的uname
是: 1'or '1'='1
这是sql语句执行的是:select id,pw where uname = '1' or '1' = '1' and pw='inputPW';
那数据库里的所有账号密码都符合这个条件了。
简而言之,用户可以通过 ’ 来改变你SQL的执行。
参数化就可以避免这个问题了。
OleDbParameter [] opGroup={new OleDbParameter(":sELEMENT_VALUE",OleDbType.VarChar),new OleDbParameter(":sFACTORY_ID",OleDbType.Integer), new OleDbParameter(":sPART_NO",OleDbType.VarChar),new OleDbParameter(":sELEMENT_ID",OleDbType.Integer) };
opGroup[0].Value=ELEMENT_VALUE;
opGroup[1].Value=Convert.ToInt32(FACTORY_ID);
opGroup[2].Value=PART_NO;
opGroup[3].Value=Convert.ToInt32(ELEMENT_ID);
sql =" UPDATE table SET ELEMENT_VALUE =:sELEMENT_VALUE WHERE FACTORY_ID =:sFACTORY_ID AND PART_NO =:sPART_NO AND ELEMENT_ID =:sELEMENT_ID ";
string connString = GetConnectionString();
OleDbConnection connection = new OleDbConnection(connString);
connection.Open();
OleDbCommand cmd = new OleDbCommand(commandText,connection);
foreach(OleDbParameter parm in parms)
{
cmd.Parameters.Add(parm);
}
cmd.ExecuteNonQuery();
connection.Close();