asp.net 用parameter对象更新数据

最新推荐文章于 2018-01-08 15:39:00 发布
最新推荐文章于 2018-01-08 15:39:00 发布
阅读量752 收藏
点赞数
分类专栏: asp.net 文章标签: asp.net 数据库 sql server insert command exception
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yitruth/article/details/6166806
版权
ASP.NET中更新数据库数据时,使用参数化数据命令可以提高代码的安全性。本文介绍了如何使用Parameter对象来避免SQL注入风险,详细阐述了使用`AddWithValue`和`Add`方法的区别,以及在处理DateTime类型时的注意事项。建议在高效率要求场景下使用`Add`方法,以确保数据类型的准确匹配。
摘要由CSDN通过智能技术生成

部分摘自asp.net3.5从入门到精通c#2008

  asp.net要执行删除和更新操作实际并不复杂,只要使用一个数据命令(Command)对象,使用Update, Insert 或者Delete 这三个语句之一。在执行删除、更新或插入操作时,并不需要获取获取数据,因此也并不需要使用DataReader对象。

  要执行Updata、Insert或者 Delete语句,只需要创建一个数据命令(Command)对象,然后调用其ExecuteNonQuery()方法来执行数据命令。ExecuteNonQuery()方法将返回受影响的记录数,可以通过检查该方法的返回值,以判断对数据库的操作是否执行成功。例如,如果试图执行一个更新或者删除操作,但是ExecuteNonQuery()方法的返回值为0,则表示操作失败,这个能使由于数据库中并不存在于Where子句中的筛选条件相匹配的记录。(另外,如果该SQL命令具有语法错误,或者该SQL命令试图检索一个数据库中并不存在的表时,将会产生异常。)

 

这里只说一下更新的方法,先是不安全的代码:

 

代码 
   
   
   

    
    
    string
    
     insertSQL;
    
insertSQL 
    
    =
    
     
    
    "
    
    INSERT INTO Authors (
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     
    
    "
    
    au_id, au_fname, au_lname, 
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     
    
    "
    
    phone, adress, sity, state, zip, contract) 
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     
    
    "
    
    VALUES ('
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     txtID.Text 
    
    +
    
     
    
    "
    
    ', '
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     txtFirstName.Text 
    
    +
    
     
    
    "
    
    ', '
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     ...
    
...
    
...
    
insertSQL 
    
    +=
    
     txtZip.Text 
    
    +
    
     
    
    "
    
    ')
    
    "
    
    ;
    

    
SqlConnection con 
    
    =
    
     
    
    new
    
     SqlConnection(connectionString);
    
SqlCommand cmd 
    
    =
    
     
    
    new
    
     SqlCommand(insertSQL, con);
    

    

    
    //
    
    尝试打开数据库连接并执行更新。
    
    
    

    
    int
    
     added
    
    =
    
    0
    
    ;
    

    
    try
    
    
    
{
    
    
  con.Open();
    
  added 
    
    =
    
     cmd.ExecteNonQuery();
    
  lblStatus.Text 
    
    =
    
     added.ToString() 
    
    +
    
     
    
    "
    
     records inserted.
    
    "
    
    ;
    
}
    

    
    catch
    
     (Exception err)
    
{
    
    
  lblStatus.Text 
    
    =
    
     
    
    "
    
    Error inserting record. 
    
    "
    
    ;
    
  lblStatus.Text 
    
    +=
    
     err.Message;
    
}
    

    
    finally
    
    
    
{
    
    
  con.Close();
    
}
    

    

    
    //
    
    added判断操作是否成功

 

  这个例子是把字符串在代码中连接起来组成一个SQL字符串,然后再通过command执行这个动态生成的SQL语句。这个办法虽然简单但是存在很大的缺陷,如果用户无意或有意的输入一些特殊字符如单引号(')或者注入一些恶意代码,后果就严重了。

  为了创建更加稳定的数据命令,可以使用ado.net的参数化数据命令(parameterized command)。在参数化数据命令中,使用参数作为占位符来替代硬编码的值。下面是更改后的代码(更改的地方用下划线):

 

代码 
   
   
   

    
    
    string
    
     insertSQL;
    
insertSQL 
    
    =
    
     
    
    "
    
    INSERT INTO Authors (
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     
    
    "
    
    au_id, au_fname, au_lname, 
    
    "
    
    ;
    
insertSQL 
    
    +=
    
     
    
    "
    
    phone, adress, sity, state, zip, contract) 
    
    "
    
    ;
    
    "
    

    
    insertSQL 
    
    +=
    
     
    
    "
    
    VALUES ('
    
    "
    
    ;
    
insertSQL 
    
    += "@au_id, @au_fname, @au_lname, ";
    
insertSQL += "@phone, @address, @city, @state, @zip, @contract)"
    
    ;
    

    
SqlConnection con 
    
    =
    
     
    
    new
    
     SqlConnection(connectionString);
    
SqlCommand cmd 
    
    =
    
     
    
    new
    
     SqlCommand(insertSQL, con);
    

    
cmd.Parameters.AddWithValue(
    
    "@au_id", txtID.Text);
    
cmd.Parameters.AddWithValue("@au_fname", txtFirstName.Text);
    
cmd.Parameters.AddWithValue("@au_lname", txtLastName.Text);
    
cmd.Parameters.AddWithValue("@phone", txtPhone.Text);
    
...
    
...
    
...
    
cmd.Parameters.AddWithValue("@zip"
    
    , txtZip.Text);
    

    

    
    //
    
    尝试打开数据库连接并执行更新。
    
    
    

    
    int
    
     added
    
    =
    
    0
    
    ;
    

    
    try
    
    
    
{
    
    
  con.Open();
    
  added 
    
    =
    
     cmd.ExecteNonQuery();
    
  lblStatus.Text 
    
    =
    
     added.ToString() 
    
    +
    
     
    
    "
    
     records inserted.
    
    "
    
    ;
    
}
    

    
    catch
    
     (Exception err)
    
{
    
    
  lblStatus.Text 
    
    =
    
     
    
    "
    
    Error inserting record. 
    
    "
    
    ;
    
  lblStatus.Text 
    
    +=
    
     err.Message;
    
}
    

    
    finally
    
    
    
{
    
    
  con.Close();
    
}
    

    

    
    //
    
    added判断操作是否成功

 

 

 

对于不同的数据提供程序,参数化数据命令的语法是不同的。对于S

最低0.47元/天 解锁文章
yitruth
关注
专栏目录
Asp.net 用DataSet对象更新数据(SqlDataAdapter) DataTable加主键
生活要快乐 - 魏言
06-28 4773
<input id=" __VIEWSTATE" type="hidden" name="__VIEWSTATE" />   私の青い色スペース专注于.NET,认真把握好生命的每一秒,让每天都过的有意义。。!
Parameter updates
NaLi的博客
07-15 166
写CS231n作业的时候,发现它介绍的很详细。 笔记链接:http://cs231n.github.io/neural-networks-3/#update
asp.net使用参数(parameters)的方法执行数据库操作例子
pyman hall
05-17 975
using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Web.UI;using System.Web.UI.WebControls;using System.Data.SqlClient;using System.Data;public partial class
C#ASP .NET数据库应用程序实现增删改查(web)
12-03
C#ASP .NET数据库应用程序实现增删改查,一个文本框+一个按钮,实现点击按钮不但可以执行Insert、Update和Delete语句,而且也可以执行Select语句。
asp.net SqlParameter关于Like的传参数无效问题
10-29
### ASP.NET SqlParameter与LIKE子句中的参数传递问题详解 #### 一、问题背景及原因分析 在ASP.NET应用程序开发过程中,经常会遇到通过SQL查询来获取数据的需求,其中一种常见的查询方式就是利用`LIKE`子句进行...
JQuery对ASP.NET MVC数据进行更新删除
10-21
ASP.NET MVC框架中,JQuery是一个常用的JavaScript库,它为客户端交互提供了强大的功能,包括对数据更新和删除操作。在本例中,我们将探讨如何利用JQuery与后端的ASP.NET MVC配合,实现对数据库数据更新和...
asp.net SqlParameter如何根据条件有选择的添加参数
10-25
我们还需要注意,使用SqlParameter对象不仅仅可以保证查询的安全性,还可以确保数据类型的正确性,提高查询效率。在构建参数列表后,我们可以使用类似SqlHelper这样的类来执行查询操作,并通过SqlDataReader对象读取...
创建数据库连接对象
weixin_30760895的博客
07-12 354
using System;using System.Collections;using System.Collections.Specialized;using System.Data;using System.Data.SqlClient;using System.Configuration;using System.Text.RegularExpressions; /// <summ...
asp.net中 使用参数化mysqlparameter 保存数据时,总保存成一个汉字的解决方案。...
weixin_33711641的博客
01-08 283
var param = new MySqlParameter("@" + columName, property.Value); param.DbType = DbType.String;  
asp(Parameters) 参数化实现方法
网络记事本
06-07 3407
本文演示了使用 ActiveX 数据对象 (ADO) 从 Active Server Pages 调用存储过程的三种方法 下面的示例使用 Command 对象调用示例存储过程 sp_test。此存储过程接受整数,同时返回一个整数值: Place Document Title Here This first method queries the dat
asp.net C#命名参数SqlParameter详解
暖阳的进步乐园
01-18 5498
DBHelper:         ///         /// 执行查询        ///         /// 有效的select语句        /// 返回SqlDataReader        public static SqlDataReader ExecuteReader(string sql)        {            SqlConnection con
CreateParameter参数说明(ASP)
sbayje的专栏
09-20 2802
CreateParameter参数说明(ASP) 2009-09-09 16:11 CreateParameter参数说明(ASP) cmd.CreateParameter("参数名称",类型,方向,大小) Cmd.CreateParamet
SqlParameter的用法
weixin_34034670的博客
06-19 407
关于Sql注入的基本概念,相信不需多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的话,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用都使用drop命令,那么可能你的整个数据库得全线崩溃。 当然,现在重点不是讲sql注入的害处,而是说说如何最大限度的避免注入...
C#中SqlParameter的作用与用法
热门推荐
且听风吟的专栏
10-20 8万+
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13
update connection parameters
Ayworld
07-03 2330
update connection parameters
使用JQuery操作ASP.NET MVC实现数据更新与删除
本文主要探讨如何使用JQuery在ASP.NET MVC框架下实现数据更新和删除功能。通过创建实体并与数据库交互,结合JQuery的Ajax方法,可以实现无刷新的前端操作,提高用户体验。 在ASP.NET MVC项目中,数据操作通常涉及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值