关于SqlParameter的问题.

最新推荐文章于 2021-01-12 10:29:17 发布
最新推荐文章于 2021-01-12 10:29:17 发布
阅读量480 收藏
点赞数
文章标签: sms sql table c
本文深入探讨了SQL参数化查询在C#中的应用,特别强调了使用强类型化命令的重要性,避免参数错误和SQL注入风险。通过实例展示了如何正确配置参数类型以确保SQL查询的安全性和效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

请先看下面代码:
===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

①            SqlParameter[] paras = {
                new SqlParameter("@SendTime", SqlDbType.DateTime, 8)
            };
②            SqlParameter[] parasName = {
                new SqlParameter("@ReceiverName", SqlDbType.NVarChar)
            };
            paras[0].Value = DateTime.Parse(SendTime);
            paras[1].Value = DateTime.Parse(ReceiverName);
            return base.SqlRuner.ExecuteDataTable(sql, paras);
        }
===========================================================================
我的疑问是,其中的"SendTime"和"ReceiverName"直接由参数获得不就可以了么?
为什么还要用①②的代码?为什么不可以直接写成:

===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

            return base.SqlRuner.ExecuteDataTable(sql);

【chanfengsr】:
这就是C#强类型的SQL命令吗!这样的命令参数定义好之后类型就是定了,如果给的参数类型不对,立马就会报错。
而直接用参数来拼串的话就不能保证参数和语句的正确性!而且容易被注入。
规范的带参数的SQL命令,应该用SqlCommand来执行!

mywebstudy
关注
关于sqlserver中SqlParameter的用法注意事项
人生在手
10-12 1224
关于sqlserver中SqlParameter的用法注意事项
使用SqlParameter参数返回值时遇到的问题
walkinhill的专栏
09-21 2180
原来早就知道可以在调用SQL Server的存储过程,并指定参数的类型为ParameterDirection.Output来返回值,但是今天真正用起来的时候却碰到了问题,存储过程:CREATE procedure SqlMembership_GetAllUsers(@ApplicationName VarChar(255),@pagesize int,@pageindex int,@tot
SqlParameter一个容易出错的问题(@2.0)
killkill
02-09 3265
近日在做培训系统的时候遇到了一个一下的问题,主要涉及的问题如下:         public Models.Timu ListTimu(IListModels.TimuDesc> TimuDescs, bool IsKaoshi)        ...{            Models.Timu rtnValue = new Models.Timu();            Sql
Npgsql-The .net DataProvide for Postgresql DB.
yaoyouyou的专栏
09-18 5192
Npgsql: Users ManualCopyright © The Npgsql Development Team Last update: $Date: 2004/11/19 01:30:45 $ by $Author: fxjr $Category: External documentationIntended Audience: Npgsql Users1. What is Npgsq
sql不写parametertype_SqlParameter增添参数能否不指定parameterName,按顺序依次添加参数...
weixin_35462903的博客
01-12 372
SqlParameter添加参数能否不指定parameterName,按顺序依次添加参数正常添加参数是这样cmd.Parameters.AddWithValue("@user",parms[0]);cmd.Parameters.AddWithValue("@pwd",parms[1]);cmd.Parameters.AddWithValue("@flag",parms[2]);因为参数很多,...
关于SqlParameter参数的问题
weixin_30800807的博客
11-25 264
使用SqlParameter时默认,参数是不能为空的 public static object SqlNull(object obj) { if (obj == null || obj.ToString() == "") { return DBNull.Value; } ...
IDataParameter[]的用法
蓝昊天——.net之旅
10-23 2619
IDataParameter[]简单的说来,就是可以包含任何数据库参数的数组,这些参数可以是SqlParameter或者OleDbParameter,但是,IDataParameter[]不可以直接从SqlParameter[]转换过来。下面是三种创建IDataParameter[]的方法:一、直接构造:IDataParameter[] parameters = new IDataParamete
数据库批量操作中SqlParameter参数传递的问题
weixin_30515513的博客
10-31 266
数据库批量操作 比如会写:update T_AdminUsers set IsEnabled=@IsEnabled where Id in (@ids) 然后再SqlParameter("@isd","1,2,3"), 但这样是不行的,原因是什么呢,找啊找,找啊找,为什么每次都是费了老半天时间排除各种原因后才想起来最可能的原因。 最后想可能是SqlParameter的机制问题,于...
C#——SqlParameter的使用方法及注意事项
知北行的博客
02-19 8032
SqlParameter可以防止sql注入问题,这里记录下使用方法及代码。 1.封装的sqlHelper类中的数据库操作方法(部分代码,具体可参见.net 使用SQLconnection连接数据库及SQL帮助类) //这里要填入你的数据库连接字符串 private static string connectionString = "*************************"; ...
The SqlParameterCollection only accepts non-null SqlParameter type objects, not SqlParameter objects.
最新发布
06-07
<think>我们正在解决“SqlParameterCollectiononlyacceptsnon-nullSqlParametertypeobjects”错误。这个错误通常发生在尝试向SqlParameterCollection中添加null值或非SqlParameter对象时。解决方案:1.检查每个添加到SqlParameterCollection的参数是否为SqlParameter类型且不为null。2.在添加参数前,确保参数已经正确实例化。示例代码:错误情况:尝试添加null或非SqlParameter对象。正确做法:using(SqlCommandcmd=newSqlCommand(query,connection)){//正确创建SqlParameter对象SqlParameterparam1=newSqlParameter("@Param1",SqlDbType.Int);param1.Value=1;cmd.Parameters.Add(param1);//正确添加//错误:添加null//cmd.Parameters.Add(null);//这会引发异常//错误:添加非SqlParameter对象//cmd.Parameters.Add(123);//这会引发异常}3.如果使用参数数组,遍历数组确保每个元素都是非空的SqlParameter对象。另一种常见情况是在循环中添加参数,需要确保循环变量不为null。4.如果使用参数数组,并动态创建参数,确保在添加前已经创建了SqlParameter实例。例如:List<SqlParameter>parameters=newList<SqlParameter>();//...动态创建多个参数foreach(varpinparameters){if(p==null)//检查null{thrownewException("发现null参数");}cmd.Parameters.Add(p);}5.使用AddWithValue方法时,注意它返回的是一个SqlParameter对象,但通常我们直接使用,不会返回null,所以问题较少。但是,如果试图添加null到集合本身,还是会出错。6.使用参数化查询时,确保参数名称前面的@符号正确,并且参数已经创建。7.如果参数是从方法返回的,确保方法返回的是非空的SqlParameter。8.如果使用第三方库生成参数,检查该库是否可能返回null。9.在调试时,可以设置断点检查添加到集合的每个参数。10.如果使用批量添加,例如AddRange,同样需要检查数组中是否有null。代码示例(AddRange):SqlParameter[]parameters=newSqlParameter[]{newSqlParameter("@p1",1),null,//这里会出错newSqlParameter("@p2",2)};cmd.Parameters.AddRange(parameters);//因为数组中有null,将抛出异常因此,在调用AddRange之前,需要确保数组中没有null。总结:该错误的根本原因是向SqlParameterCollection中添加了null或非SqlParameter对象。通过检查每个参数,确保都是非空的SqlParameter实例即可解决。相关问题:1.如何避免SQL注入攻击?2.SqlParameterCollection还有哪些常见的错误?3.如何使用SqlParameter进行批量操作?</think> ### SqlParameterCollection只接受非空SqlParameter类型对象的错误解决方案 此错误通常在向SQL命令的参数集合中添加非`SqlParameter`对象或`null`值时发生。以下是具体解决方案: **错误原因:** - 尝试添加`null`值到参数集合 - 添加了非`SqlParameter`类型的对象(如`string`、`int`等基础类型) - 使用`AddWithValue()`时传递了错误的值类型[^1] **解决方案:** #### 1. 确保使用正确的`SqlParameter`对象 ```csharp // 正确做法 SqlParameter param = new SqlParameter("@UserName", SqlDbType.NVarChar, 50); param.Value = "John"; command.Parameters.Add(param); // 显式创建SqlParameter对象 ``` #### 2. 避免直接添加空值 ```csharp // 错误示例 command.Parameters.Add(null); // 触发错误 // 正确做法 if (paramValue != null) { command.Parameters.Add(new SqlParameter("@Param", paramValue)); } ``` #### 3. 正确使用`AddWithValue`方法 ```csharp // 错误:添加基础类型而非SqlParameter command.Parameters.Add(userName); // 错误!userName是string类型 // 正确:使用AddWithValue封装 command.Parameters.AddWithValue("@UserName", userName); // 自动创建SqlParameter ``` #### 4. 检查批量添加操作 当使用`AddRange()`时需验证数组内容: ```csharp SqlParameter[] paramsArray = new SqlParameter[] { new SqlParameter("@Id", 1), null // 包含null会导致错误 }; // 添加前过滤null值 command.Parameters.AddRange(paramsArray.Where(p => p != null).ToArray()); ``` #### 5. 使用参数化查询验证 ```csharp using (SqlCommand cmd = new SqlCommand("SELECT * FROM Users WHERE Id=@Id", connection)) { // 显式创建参数对象 SqlParameter idParam = new SqlParameter("@Id", SqlDbType.Int); idParam.Value = userId; cmd.Parameters.Add(idParam); // 安全添加 } ``` **调试建议:** - 使用断点检查`Parameters`集合中的元素类型 - 验证所有参数创建语句是否执行成功 - 在循环添加参数时添加`null`检查[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值