传参

最新推荐文章于 2025-08-12 22:09:30 发布
最新推荐文章于 2025-08-12 22:09:30 发布
阅读量680 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: parameters sql sql server 数据库 object null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tianxiaaoyou/article/details/6579072
本文介绍参数化SQL语句的使用方法及其在不同数据库中的实现方式,包括SQL Server、Access、MySQL和Oracle等,强调了其在防止SQL注入攻击和提高性能方面的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

1select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为: 

1select * from UserInfo where sex=@sex

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

1select * from UserInfo where sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码: 

01//实例化Connection对象 
02SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=''"); 
03//实例化Command对象 
04SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection); 
05//第一种添加查询参数的例子 
06command.Parameters.AddWithValue("@sex", true); 
07//第二种添加查询参数的例子 
08SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的 
09parameter.Value = 30; 
10command.Parameters.Add(parameter);//添加参数 
11//实例化DataAdapter 
12SqlDataAdapter adapter = new SqlDataAdapter(command); 
13DataTable data = new DataTable();

 

 

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

 

 

 

数据库AccessMySQLOracle
 SQL语句select * from UserInfo
where sex=? and age>?		select * from UserInfo
where sex=?sex and age>?age		select * from UserInfo
where sex=:sex and age>:age
参数OleDbParameterMySqlParameterOracleParameter
实例化参数OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean);MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit);OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值p.Value=true;p.Value=1;p.Value=1;

 

通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。
注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

 

 

 

 

        public int AddTypeParms(PhotoType type)
        {
            StringBuilder strsql = new StringBuilder();
            strsql.Append("insert into PhotoType (");
            strsql.Append("TypeNameCN,TypeNameEN,SortID,DefaultImg)");
            strsql.Append(" values (");
            strsql.Append("@TypeNameCN,@TypeNameEN,@SortID,@DefaultImg)");
            OleDbParameter[] parameters ={
                      new OleDbParameter("@TypeNameCN",OleDbType.VarWChar),
                      new OleDbParameter("@TypeNameEN",OleDbType.VarWChar),
                      new OleDbParameter("@SortID",OleDbType.SmallInt),
                      new OleDbParameter("@DefaultImg",OleDbType.VarWChar)
                                       
                                        };
            parameters[0].Value = type.TypeNameCN;
            parameters[1].Value = type.TypeNameEN;
            parameters[2].Value = type.SortID;
            parameters[3].Value = type.Img;

            object obj=DBHelper.GetSingle(strsql.ToString(),parameters);
            if(obj==null)
            {
                return 1;
            }
            else
            {
                return Convert.ToInt32(obj);
            }
       
        }

 

 

 

       private static void PrepareCommand(OleDbCommand cmd, OleDbConnection conn, OleDbTransaction trans, string cmdText, OleDbParameter[] cmdParms)
       {
           if (conn.State != ConnectionState.Open)
               conn.Open();
           cmd.Connection = conn;
           cmd.CommandText = cmdText;
           if (trans != null)
               cmd.Transaction = trans;
           cmd.CommandType = CommandType.Text;//cmdType;
           if (cmdParms != null)
           {


               foreach (OleDbParameter parameter in cmdParms)
               {
                   if ((parameter.Direction == ParameterDirection.InputOutput || parameter.Direction == ParameterDirection.Input) &&
                       (parameter.Value == null))
                   {
                       parameter.Value = DBNull.Value;
                   }
                   cmd.Parameters.Add(parameter);
               }
           }
       }
       public static int ExecuteSql(string SQLString, params  OleDbParameter[] cmdParms)
       {
           using (OleDbConnection connection = new OleDbConnection(constr))
           {
               using (OleDbCommand cmd = new OleDbCommand())
               {
                   PrepareCommand(cmd, connection, null, SQLString, cmdParms);
                   int rows = cmd.ExecuteNonQuery();
                   cmd.Parameters.Clear();
                   return rows;
               }
           }
       }
               /// <summary>
        /// 执行一条计算查询结果语句,返回查询结果(object)。
        /// </summary>
        /// <param name="SQLString">计算查询结果语句</param>
        /// <returns>查询结果(object)</returns>
       public static object GetSingle(string SQLString, params OleDbParameter[] cmdParms)
       {
           using (OleDbConnection connection = new OleDbConnection(constr))
           {
               using (OleDbCommand cmd = new OleDbCommand())
               {
                   try
                   {
                       PrepareCommand(cmd, connection, null, SQLString, cmdParms);
                       object obj = cmd.ExecuteScalar();
                       cmd.Parameters.Clear();
                       if ((Object.Equals(obj, null)) || (Object.Equals(obj, System.DBNull.Value)))
                       {
                           return null;
                       }
                       else
                       {
                           return obj;
                       }
                   }
                   catch (System.Data.OleDb.OleDbException e)
                   {
                       throw e;
                   }
               }
           }
       }

 

 

 

   声明参数:OleDbParameter para = new OleDbParameter("@string", DbType.String, 50);其中DbType.String应该改成:OleDbType.VarWChar。DbType,OleDbType,SqlDbType对应如下:


访问类型名称 数据库数据类型 OLEDB 类型 .NET 框架类型 成员名称
文本 VarWChar DBTYPE _ WSTR System.String OleDbType.VarWChar
备忘录 LongVarWCha R DBTYPE _ WSTR System.String OleDbType.LongVarWChar
字节数: UnsignedTinyInt DBTYPE _ UI 1 System.Byte OleDbType.UnsignedTinyInt
是 / 否 Boolean DBTYPE_BOOL System.Boolean OleDbType.Boolean
日期 / 时间 DateTime DBTYPE _ DATE System.DateTime OleDbType.date
货币 十进制 DBTYPE_NUMERIC System.Decimal OleDbType.numeric
十进制数: 十进制 DBTYPE_NUMERIC System.Decimal OleDbType.numeric
双数: 双 DBTYPE_R8 System.Double OleDbType.Double
Autonumber (复制 ID) GUID DBTYPE_GUID System.Guid OleDbType.guid
复制 (ID) 号: GUID DBTYPE_GUID System.Guid OleDbType.guid
Autonumber (长整型) 整数 DBTYPE_I4 System.Int 32 OleDbType.integer
数量: (长整型) 整数 DBTYPE_I4 System.Int 32 OleDbType.integer
OLE 对象 LongVarBinary DBTYPE_BYTES 数组 System.Byte OleDbType.LongVarBinary
单个数字: 单个 DBTYPE_R4 System.Single OleDbType.single
整型数: SmallInt DBTYPE_I2 System.Int 16 OleDbType.SmallInt
二进制 VarBinary * DBTYPE_BYTES 数组 System.Byte OleDbType.binary
超链接 VarWChar DBTYPE _ WSTR System.String OleDbType.VarWChar

 

tianxiaaoyou
关注
SQL参数
GaraMaps的博客
09-05 3173
避免SQL注入的方法有两种: 一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我
java调用shell向DataX传参,带where条件,特殊字符
08-16
java调用shell命令,在shell命令中调用DataX任务并传递参数。 坑主要在DataX传递参数涉及到特殊字符应该如何处理这块,有时间可以自己试; 没时间可以用我的经验,自己选择;
java远程执行datax
hhhliushen的博客
04-03 952
毕设里面用到了datax 。我将datax环境布到了linux上,然后用java远程执行linux上datax的代码,代码如下 pom.xml <dependency> <groupId>ch.ethz.ganymed</groupId> <artifactId>ganymed-ssh2</artifactId> ...
datax动态传参指定SQL语句
ASN_forever的博客
05-25 6451
需求:动态的修改sql语句来读mysql,动态的修改hbase表名来指定写入的hbase表。 脚本: { "job": { "setting": { "speed": { "byte": 8388608, "channel": 3 }, "errorLimit": { "record": 0, "percentage": 0
datax动态传参
一亿年开发经验
12-13 745
datax动态传参
数据同步工具之DataX实操
xiaoleilei666的博客
07-08 3465
一、DataX部署上传DataX压缩文件至/opt/software/目录下,并解压文件至/opt/module/下。 自测检查DataX,出现如下截图内容,说明安装成功 二、DataX使用DataX使用概述 DataX使用还是十分简单的,用户只需要根据自己同步数据的数据源和目的地来选择相应的Reader和Writer,并将Reader和Writer的信息配置在一个json文件中,然后执行下述命令进行提交数据同步任务即可。 DataX配置文件格式 可以通过下述命令进行查看DataX配置文件模板 ht
Qt connect传参方式及lambda函数传参方式演示
11-05
本教程将深入探讨`connect`的多种传参方式,特别是如何利用lambda函数进行更灵活的参数传递。首先,我们来看一下`connect`的基本用法。 `connect`函数的一般形式如下: ```cpp QObject::connect(sender, &Sender::...
页面中iframe相互传值传参
10-29
但同时,它也引入了父页面与iframe之间进行数据交换的需求,也就是所谓的“传值传参”。随着浏览器技术的发展,不同浏览器间的兼容性问题成为开发者需要考虑的重要方面。特别是早期的浏览器,如Internet Explorer和...
django跳转页面传参的实现
09-24
通过以上内容,我们可以总结出Django跳转页面传参实现的关键知识点,包括JavaScript的URL和本地存储方法,Django的URL配置和动态参数传递,以及视图中的用户认证、登录以及动态URL生成等。这些知识点对于掌握Django...
打开app传参和接收参数apk.zip
05-24
在Android应用开发中,"打开app传参和接收参数"是一项关键技能,尤其在实现不同应用间交互或者内部页面跳转时。Unity是一款强大的跨平台游戏引擎,它也可以用于开发Android应用,因此这个主题涉及到的知识点包括...
微信小程序 页面跳转传参详解
09-01
总的来说,微信小程序的页面跳转和传参主要依赖`wx.navigateTo` API,通过URL查询参数的方式传递数据。在实际开发中,结合事件处理函数和生命周期方法,可以灵活地实现页面间的交互和数据传递。理解这一机制对于微信...
java调用shell向DataX传递参数,where条件,包含特殊字符
04-10
java调用shell向DataX传递参数,where条件,包含特殊字符。java调用shell向DataX传递参数,where条件,包含特殊字符
Java通过python命令执行DataX任务
12-19
Java调用控制台python命令(含传递参数)执行DataX的job任务,mysql向odps同步数据。
oracle动态语句怎么传参数值,DATAX动态参数数据传递
weixin_30565101的博客
04-14 1344
实例:ORACLE到ORACLE的数据传递编写job.xml文件,添加变量参数执行datax.py文件时记得带参数格式:./datax.py –p"-Ddbname=*** -Dip=***" job.xml实现指定的列名数据传递修改reader里面的colums和writer里面的colorder,记得顺序要一致。其他保持不变实现指定的行数的数据传递Reader里面填写参数sql语句,其他默认,...
datax的使用以及参数解释,快速入门版
weixin_67485772的博客
06-13 6527
datax的使用以及参数解释,快速入门版
DataX java调用动态传参
weixin_40752111的博客
07-10 271
Java调用动态传参Java编程中,经常会遇到需要调用一个方法,并且需要传递动态参数的情况。这种情况下,我们可以使用Java中的可变参数来解决这个问题。本文将介绍如何在Java中调用动态传参的方法,并通过代码示例演示具体的实现过程。 可变参数的概念 在Java中,可变参数是指在方法的参数列表中允许传递不定数量的参数。在...
SQL参数化查询,Where语句中配置“?”
mark_jl的博客
03-28 2044
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
java整合datax最详细的教程
Ting1king的博客
10-21 8318
文章目录一、去官网下载datax二、依赖三、测试类json传参 由于官网的例子是基于python的例子,网上也很少可以找到java版本的,然后自己刚好做过,记录一下,我搜了一下,我应该是全网第一篇写的非常详细的文章。 一、去官网下载datax https://github.com/alibaba/Data 点击下载就好了 二、依赖 下载的压缩文件解压,在lib目录下将这两个依赖安装到本地 将这个两个依赖安装到本地maven仓库 在项目引入这两个依赖 <dependency&gt
SQL 生成日期与产品的所有组合:CROSS JOIN(笛卡尔积)
最新发布
随便写写
08-12 237
SQL中的CROSS JOIN(笛卡尔积)可以将两个表的所有行进行组合,生成m×n行结果(m和n分别为两表行数)。它不需要连接条件,可通过显式CROSS JOIN或隐式逗号分隔实现。虽然可能导致数据量剧增,但在特定场景很有用:1)生成所有可能的组合,如统计性别年龄分布;2)创建测试数据。示例展示了通过递归CTE生成日期序列,再与产品表进行CROSS JOIN,获得日期与产品的所有组合。使用时需谨慎,避免数据爆炸。
route传参
06-24
### 路由传参的实现方式 在现代前端框架中,路由传参是一种常见的需求。以下是几种主流框架中实现路由传参的方式: #### Vue.js 中的路由传参 Vue Router 提供了多种方式来传递参数[^1]。可以通过以下三种方法实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值