数据库批量操作中SqlParameter参数传递的问题

最新推荐文章于 2021-07-27 16:44:54 发布
转载 最新推荐文章于 2021-07-27 16:44:54 发布 · 266 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zhixin9001/p/5008116.html
文章标签:

#数据库

本文探讨了在数据库操作中使用SQL批量更新语句时遇到的问题,特别是关于参数化处理的难点。通过实例分析,展示了如何正确地处理多个参数以避免SQL注入,并提供了解决方案,包括字符串数组到整数数组的转换方法,确保数据安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

数据库批量操作

比如会写:update T_AdminUsers set IsEnabled=@IsEnabled where Id in (@ids)

然后再SqlParameter("@isd","1,2,3"),

但这样是不行的,原因是什么呢,找啊找,找啊找,为什么每次都是费了老半天时间排除各种原因后才想起来最可能的原因大哭

最后想可能是SqlParameter的机制问题,于是查看SqlParameter的重载,它可以处理多个object值,可以处理数组,但就是不认识"1,2,3"。


但办法是有的:像这样http://blog.youkuaiyun.com/yenange/article/details/17653213,将"1,2,3"分割,再重写了sql语句;


挺巧妙的办法,但考虑到我自己的情况,最后的处理方式为:

"update T_AdminUsers set IsEnabled=@IsEnabled where Id in ("+ids+")",

同时为了防止SQL注入漏洞攻击,手动筛查ids的内容:

执行如下转换:"1,2,3"->字符串数组->int数组->"1,2,3",

字符串数组->int数组的转换过程中可以确保输入的只有数字



 

转载于:https://www.cnblogs.com/zhixin9001/p/5008116.html

c#SQL参数化查询自动生成SqlParameter列表
天水宇的博客
05-27 7992
string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数化查询是经常用到的,它可以有效防止SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。 支持泛型,Object和ExpandoObject动态类型 using System; using System.Collec
sqlparameter
liuzhe147的博客
05-18 368
黑马程序员-sqlhelper 传入多parameter参数遇到的问题
zj_alex的专栏
03-07 1076
SqlHelper类,写的方法如下 class SqlHelper     {         private static string constr = ConfigurationManager.ConnectionStrings["constr"].ConnectionString;         public static DataSet Ex
SQLSERVER2008表值参数批量更新效率高
weixin_34184561的博客
08-25 321
SQLServer2008表值参数(Table-Valued Parameter)批量更新数据。表值参数是SQLServer2008才有的一个新特性,使用这个新特性,我们可以把一个表类型作为参数传递到函数或存储过程里。 1目标要更新的表 DestTableName; 2创建一个自定义类型表,表结构与目标表结构一样 typeTableName; 3创建一个存储...
SqlParameter in (@ids)
stoco的专栏
08-30 2855
直接传入在将 varchar 值 '1,2,3,4,5,6,7,8' 转换成数据类型 int 时失败。 SqlParameter会在编译时加上''变成varchar,使用charindex解决。 WHERE charindex(rtrim(字段名), @ids)>0; 注:按以上方案会出现ids=17的时候,会出现id=1,id=7,id=17的都...
SqlParameterSQL传递参数
weixin_34112208的博客
05-11 382
1.数据访问层 using的用法: 01.可以using System;导命名控空间 02.using 的语法结构 using(变量类型 变量名 =new 变量类型()) { } 案例: 03.using的原理 为什么出了using所在的{},会自动回收对象。 原因是当我们将要出{},系统自动调用了Dispose()方法。 而...
详解C#中SqlParameter的作用与用法
08-31
在C#编程中,SqlParameter是System.Data.SqlClient命名空间下的一个类,主要用于在执行SQL命令时安全地传递参数。本文将详细解析SqlParameter的作用及其用法,特别是在防止SQL注入和处理复杂数据类型方面的重要性。 ...
C# 中SqlParameter类的使用方法小结.docx
06-21
C# 中 SqlParameter 类的使用方法小结 在 C# 中,SqlParameter 类是一个非常重要的类,它可以帮助我们避免 SQL 注入的危害。下面我们将详细讲解 SqlParameter 类的使用方法和避免 SQL 注入的技巧。 一、直接在 SQL...
C# sql实现批量导入数据到数据库
01-10
在IT行业中,数据库操作是日常任务之一,尤其是在处理大量数据时,批量导入数据能显著提高工作效率。本主题聚焦于使用C#语言与SQL技术来实现批量导入数据到数据库的三种方法:普通方法、SqlBulkCopy和使用表值参数...
Sql批量操作数据
10-05
### SQL Server 中批量操作数据的方法及性能对比 在日常的数据库管理工作中,处理大量数据时,如何高效地进行批量操作成为了一个重要的课题。本篇文章基于标题“SQL批量操作数据”和描述“在SQL Server的多条数据...
原创 SqlParameter 事务 批量数据插入
weixin_30467087的博客
03-16 410
不错,很好,以后防注入批量事务提交虽然麻烦点研究了几个小时,但不会是问题了 1 SqlCommand cmd; 2 HelpSqlServer helps = new HelpSqlServer(); 3 //定义SqlParameter数组 4 SqlParameter[] param = new SqlParame...
C# SqlBulkCopy sqlserver 批量更新数据
zsw119的博客
07-27 5786
在开发中遇到了一张表的数据因为只做了同步插入而没有做同步更新的操作,导致了百万数据不准确。面对大量数据需要更新,传统的循环逐条插入以及拼接1000条数据插入都比较耗时,网上有博主做出了相关测试。     根据以上场景,新建控制台程序。config添加数据库连接配置,sqlHelper连接更新数据源,sqlBulkCopyHelper连接更新目标库。 1,注意三点:第一点是: String sqlstring = @""; 即String sqlstring = @"SELECT [order...
sql批量修改某字段所有值
热门推荐
Hseven779的博客
03-19 1万+
UPDATE 表名 SET a=REPLACE(a,'b','c') 将字段(a)里的字符(b)批量替换为字符(c)
关于SqlParameter问题.
mywebstudy的专栏
07-28 480
请先看下面代码:===========================================================================        public DataTable SendBoxForSendTime(string SendTi
SQLQuery.setParameter() 绑定多个同样变量
Lin's Tech Log
10-14 3202
String sql = "SELECT SYS_AUTO_GENR_CURR_DT FROM RBP_ASET_CLASS_DT WHERE CTRY_PROD_EXCHG_MKT_CDE = :exchange AND CTRY_PROD_EXCHG_MKT_CDE = :exchange"   SQLQuery query = this.getSessionFactory().getC...
SQLServer批量操作对比:SqlBulkCopy与表值参数
"这篇文档主要讨论了在SQL Server中进行批量数据操作的多种方法,包括SQLBULKCOPY、表值参数、字符串拼接以及异步处理等技术方案,并进行了性能对比。作者通过实际测试,提供了关于不同批量操作性能的数据,以帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值