ASP.NET中参数化查询

最新推荐文章于 2022-08-11 13:37:08 发布
最新推荐文章于 2022-08-11 13:37:08 发布
阅读量1.9k 收藏
点赞数
分类专栏: asp.net 文章标签: 参数化 参数化查询

一、参数化查询原理

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。

有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。

参数化查询的关键是查询优化器将创建一个可以重用的缓存计划。通过自动地或编程使用参数化查询,SQL Server可以优化类似T-SQL语句的处理。这个优化消除了对使用高贵资源为这些类似T-SQL语句的每一次执行创建一个缓存计划的需求。而且通过创建一个可重用计划,SQL Server还减少了存放过程缓存中类似的执行计划所需的内存使用。

 

 

二、参数化查询意义及注意点

1.可以防止SQL注入

2.可以提高查询性能(主要是可以复用查询计划),这点在数据量较大时尤为重要

3.参数化查询参数类型为可变长度时(varchar,nvarchar,char等)请指定参数类型及长度,若为值类型(int,bigint,decimal,datetime等)则仅指定参数类型即可

4.传值为varchar(max)或者nvarchar(max)时,参数长度指定为-1即可

 

 

 

文章转载自:  ASP.NET参数化查询     http://www.studyofnet.com/news/371.html

 

 

whaxrl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.netasp下ACCESS的参数化查询
09-06
最近因项目需要用ACCESS做数据库开发WEB项目看论坛上还许多人问及ACCESS被注入的安全问题 许多人解决的方法仍然是用Replace替换特殊字符,然而这样做也并没有起到太大做用
ASP.NET使用参数化查询
PaSifaLL的博客
04-03 518
书写数据库语句 string str = ConfigurationManager.ConnectionStrings["Con"].ConnectionString; SqlConnection conn = new SqlConnection(str); 打开数据库连接 conn.Open(); 3.书写SQL语句 string sql = "inser...
asp.net的简易的参数化查询
weixin_30791095的博客
04-07 227
1 protected void btnInsert_Click(object sender, EventArgs e) 2 { 3 string sql = "insert into contactgroup(groupname,memo) values(@groupName,@memo)"; 4 string groupNam...
.NET参数化查询数据库
weixin_30325071的博客
07-17 232
  一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()){  con.ConnectionString ="************************";  con.Open();  SqlComm...
.net 参数化查询语句
jiidd的专栏
08-01 323
①注意 select * from A where  @Name   这里  @Name 不是‘@Name’②cmd.Parameters.Add(param[i], paramValues[i].GetType()).Value = paramValues[i];  param[i] 不@    paramValues[i]要注意类型...
ASP.NET交通信息网上查询系统的设计与实现
最新发布
05-30
在交通信息网上查询系统ASP.NET作为后端开发平台,能够处理用户的请求,检索交通数据,并返回相应的查询结果。 系统设计阶段,开发团队需要考虑以下几个关键点: 1. 数据库设计:交通信息包括路况、公交线路、...
asp.net简化接收参数值的函数
01-20
ASP.NET,类的私有构造函数有时用于限制对象的实例化方式,例如在设计单例模式时。 以上就是关于“asp.net简化接收参数值的函数”的相关知识,包括函数的使用、HTTP请求处理、安全注意事项以及与之相关的ASP...
ACCESS的参数化查询,附VBSCRIPT(ASP)和C#(ASP.NET)函数第1/2页
09-06
本文将详细介绍如何在VBSCRIPT(ASP)和C#(ASP.NET)实现ACCESS的参数化查询。 首先,理解参数化查询的基本概念。参数化查询允许我们将查询的某些部分作为参数传递,而不是直接将值嵌入SQL语句。这样,数据库引擎...
asp .net SqlDataSource参数化查询
qq_32915337的博客
08-11 419
asp .net SqlDataSource参数化查询
传智播客.Net精品就业班培训ADO.Net基础3:参数化SQL及案例
03-01
传智播客.Net精品就业班培训ADO.Net基础3:参数化SQL及案例
SQL参数化(防止SQL注入)
05-29
ASP.NET开发,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
浅析Sql Server参数化查询
weixin_33726943的博客
04-21 240
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。 相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视 错误认识1.不需要防止sql注入的地方无需参数化  参数化查询就是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数就不用参数,为啥?多麻烦,我只是做公司内部系...
参数化查询
nchu2020的专栏
03-05 1209
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行
.net mysql参数化查询,.NET 出现参数化查询 需要参数但未提供该参数的错误
weixin_30546683的博客
03-12 611
1、问题的来源在.NET或者C#,我们一般执行sql语句的话,推荐使用参数化查询,这样可以避免sql注入的攻击,但是,我在使用参数化查询的时候出现了以下的错误,详细如下图:图一这是写sql语句参数化查询的代码图2 这是MSSQL执行的sql语句2、问题的原因出现这种错误的原因在于,在参数化查询的时候,有几个参数的值为null,这样的话,就出现了如图2所示的错误。为啥会这样了??虽然参数的值就是为...
asp.net/c#下用参数化SQL访问时间字段
angyunyao1518的博客
04-03 143
Access下的SQL语句跟Sql Server下有所不同,我在将Sql Server数据库改为Access数据库的时候,遇到些小小的挫折,稍作总结,以备参考。 假设有表Article, Article有字段EditTime,类型为“日期/时间”型,以修改EditTime为例。 voidUpdate(intnArticleID,stringstrTitle,...
ADO.NET 使用参数化查询
weixin_30296405的博客
09-28 215
1.要在ADO.NET对象模型执行一个参数化查询,需要向Command对象的Parameters集合添加Parameter对象 生成SqlParameter的最简单方式是调用SqlCommand对象的Parameters集合的AddWithValue. 可生成了一个新的SqlParameter对象,并设置新对象的ParameterName和Value属性 eg: cmd.Paramet...
.net mysql参数化查询_c# 针对不同数据库进行参数化查询
weixin_34245171的博客
01-26 245
使用参数化 DbCommand 的一个缺点是需要参数的代码将仅适用于支持相同语法的提供程序。OLEDB、SqlClient 和 Oracle 提供程序全部使用不同的语法。例如,用于命名和指定参数的 SQL 语法使用 @ 符号,OLEDB 参数语法需要使用问号 (?) 作为参数占位符,而 Oracle 提供程序使用冒号 (:)。string sqlstr = " select * from tabl...
ADO.NET基础琐碎总结-----参数化查询(有修改)
sun__flow的专栏
04-23 709
参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。       说起参数化查询当然最主要的就是如何构造所谓的参数:比如,我们登陆时需
ACCESS数据库安全:ASP.NETASP参数化查询技巧
"ASP.NETASP使用ACCESS进行参数化查询的方法" 在Web开发,尤其是在使用ACCESS数据库时,安全问题至关重要,特别是SQL注入攻击。传统的解决方案是通过替换特殊字符来防止注入,但这种方法并不完全有效。参数化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值