避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理(这种做法我在一些公司见过),不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:
select * from UserInfo where sex=0
在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为:
select * from UserInfo where sex=@sex
我们再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:
select * from UserInfo where sex=@sex and age>@age
下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码:
-
C# code
-
// 实例化Connection对象 SqlConnection connection = new SqlConnection( " Data Source=(local);Initial Catalog=AspNetStudy;Persist Security Info=True;User ID=sa;Password=sa " ); // 实例化Command对象 SqlCommand command = new SqlCommand( " select * from UserInfo where sex=@sex and age>@age " , connection); // 第一种添加查询参数的例子 command.Parameters.AddWithValue( " @sex " , true ); // 第二种添加查询参数的例子 SqlParameter parameter = new SqlParameter( " @age " , SqlDbType.Int); // 注意UserInfo表里age字段是int类型的 parameter.Value = 30 ; command.Parameters.Add(parameter); // 添加参数 // 实例化DataAdapter SqlDataAdapter adapter = new SqlDataAdapter(command); DataTable data = new DataTable();