1 尽量用统一替换,好处很多
//创建insert语句
private List<string> GetInsertSqlFromListPA_SD(List<PA_SD> list)
{
List<string> sqlList = new List<string>();
string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product,materdesc,prdsize,qty,subprddesc)
Values({0},{1},{2},{3},{4},{5},{6},{7},{8}) ";
foreach (PA_SD obj in list)
{
sqlList.Add(string.Format(strSQL,
SqlParamFomat(obj.DNDH),
SqlParamFomat(obj.pono),
obj.itemno,
SqlParamFomat(obj.style),
SqlParamFomat(obj.product),
SqlParamFomat(obj.materdesc),
SqlParamFomat(obj.prdsize),
obj.qty,
SqlParamFomat(obj.subprddesc)
));
}
return sqlList;
}
private string SPF(string str)
{
return SqlParamFomat(string str);
}
//格式化sql语句的参数,在最外面添加分号
//例如 exec spLogin @UserID={0} 可以用本函数替换{0}
private string SqlParamFomat(string str)
{
if (null != str)
{
string tmp = str.Replace("'", "''");
return "'" + tmp + "'";
}
else
{
return "null";
}
}
private string SPFNW(string str)
{
return SqlParamFomatNoWrap(string str);
}
//格式化sql语句的参数,没有添加最外面的分号
//例如String sql = "exec spLogin @UserID='" + SPFNW(userID) + "'";
private string SqlParamFomatNoWrap(string str)
{
if (null != str)
{
string tmp = str.Replace("'", "''");
return tmp;
}
else
{
return "";
}
}
2 如果必须用string+string来拼接sql我们要对每个参数进行处理
a 字符串参数必须调用SqlParamFomat()函数格式化
b 数字类型的必须检查传入的参数是数字的,才能拼接到sql中
c 日期类型,必须传入日期类型的参数,再在代码中转换为日期字符串拼接到sql中
d 布尔型,必须传入布尔型参数,再在代码中转换为1或0拼接到sql,或直接拼接
中心思想就是,拼接sql前,要保证传入的数据类型跟参数一致, 再处理好字符型的参数
因为只有字符型的参数能被注入
sql 拼接 防止注入
于 2013-10-18 16:00:38 首次发布