参数化SQL语句SqlParameter

最新推荐文章于 2022-08-09 22:34:38 发布
原创 最新推荐文章于 2022-08-09 22:34:38 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #command #存储 #security #数据库 #c#

本文介绍两种有效避免SQL注入的方法:使用存储过程和参数化SQL语句。通过参数化SQL语句,可以有效防止恶意输入导致的安全问题。文章还提供了具体的C#代码示例来展示如何实现参数化查询。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理(这种做法我在一些公司见过),不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:


select * from UserInfo where sex=0
在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为:



select * from UserInfo where sex=@sex
我们再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:


select * from UserInfo where sex=@sex and age>@age
下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码:

C# code 
//实例化Connection对象 
SqlConnection connection = new SqlConnection("Data Source=(local);Initial Catalog=AspNetStudy;Persist Security Info=True;User ID=sa;Password=sa"); 
//实例化Command对象 
SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection); 
//第一种添加查询参数的例子 
command.Parameters.AddWithValue("@sex", true); 
//第二种添加查询参数的例子 
SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的 
parameter.Value = 30; 
command.Parameters.Add(parameter);//添加参数 

//实例化DataAdapter 
SqlDataAdapter adapter = new SqlDataAdapter(command); 
DataTable data = new DataTable();
如何用参数化SQL语句污染你的计划缓存
12-14
标题中的“如何用参数化SQL语句污染你的计划缓存”指的是在使用参数化SQL查询时,由于不正确的编程方式可能会导致SQL Server的计划缓存中积累大量的不同执行计划,从而影响性能。描述中提到了ADO.NET的`AddWithValue...
C# 启用事务提交多条带参数的SQL语句实例代码
01-21
具体代码如下所示: ... /// 启用事务提交多条带参数的SQL语句 /// /// 主表SQL /// 主表对应的参数 /// 明细表SQL语句 /// 明细表对应的参数 /// 返回事务是否成功 public static bool Up
参数化SQL语句
weixin_30955617的博客
08-25 257
避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
SQL语句参数化
小蔡哥的专栏
05-16 1036
SELECT AuthorID, Name, Adress FROM Author WHERE (Abrige = @Param2)  sqlDataAdapter1.SelectCommand.Parameters["Param2"].Value = Abrige_txt.Text;比如参数的sql的like是这样写的 字段 like @参数名@参数名=%农业%是不用写成%农业
Parameters.AddWithValue 方法SQL语句 Where 字句中的用法
Yao,Mane
04-24 1464
今天晚上看论坛,有人提问说,Parameters.AddWithValue方法在有些情况下不好使,他的写法是这样的:  string strWhere = "%美%"; strSql = "SELECT * FROM area Where [name] like @strWhere";//这个就不好使 cmd.Parameters.AddWithValue("@strWhere", s
参数化命令执行sql语句
MousseIn的博客
11-30 3207
参数化命令执行sql语句理解参数化指令的好处掌握使用参数化指令执行sql语句使用@构造参数化sql命令sqlParameter对象SqlParameter的属性使用SqlCommmand 执行参数化SQL的步骤 理解参数化指令的好处 防止sql注入 string sb = “SELECT *FROM admin WHERE loginid =’”+loginId+"‘AND loginPwd =’"+logingPwd+"’" string sb =“SELECT * FROM admin WHERE
SQL Server SQL性能优化之参数化
12-14
默认情况下,SQL Server采用简单参数化,这意味着如果收到的SQL语句与之前执行过的任何语句不完全相同,系统会重新编译它。然而,对于某些特定的adhoc SQL,即使参数值改变,SQL Server也会尝试自动参数化,以重用已...
asp执行带参数的sql语句实例
10-25
参数化SQL语句则能够有效地避免这种风险。 在给定的代码实例中,我们可以看到如何在ASP中使用ADODB对象来执行带有参数的SQL查询。首先,创建一个`ADODB.Connection`对象来建立与数据库的连接。这里的连接字符串使用...
SQL中in参数化的用法
05-06
C# 中执行 SQL 语句时,我们可以使用参数化查询来实现 where in 和 like 的参数化查询。如: ```csharp using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm =...
mysql参数化sql语句_mybatis的sql参数化查询
weixin_39716510的博客
02-08 932
我们使用jdbc操作数据库的时候,都习惯性地使用参数化sql数据库交互。因为参数化sql有两大有点,其一,防止sql注入;其二,提高sql的执行性能(同一个connection共用一个的sql编译结果)。下面我们就通过mybatis来分析一下参数化sql的过程,以及和非参数化sql的不同。注意:①本次使用wireshark来监听网卡的请求,测试过程中,如果使用的是本地的mysql的话,jav...
SQL语句参数化__封装
taodayenidaye的博客
11-22 6041
封装SQL语句参数化
SQL语句参数化(用%s)
热门推荐
taodayenidaye的博客
11-21 2万+
Python中,SQL语句参数化如果有2个额外的值要提供怎么办?
sql语句--参数化
仰卧起坐式学习
11-30 1161
由于查询的时候,总要切换同一字段的值进行查询,所以可以设置一些字段,查询的时候根据字段进行查询 set @id=49183;SELECT * FROM table WHERE id=@id  
Java--JDBC编程练习题
pattyi的博客
11-01 1万+
???? ???? ???? ???? 1、下面选项中,能够将游标从当前位置向下移一行的方法是( )(单选) A、next() B、absolute(introw) C、previous() D、last() 参考答案 :A 答案说明 : absolute(int row)将游标移动到此 ResultSet 对象的指定行 previous()将游标移动到此 ResultSet 对象的上一行 2、下面Statement接口的方法中,用于执行各种SQL语句的是( )(单选) A、executeUpdat
JDBC数据库连接池练习题
weixin_48053866的博客
08-09 8346
《JDBC数据库连接池练习题》 1、 下面选项中,能够将游标从当前位置向下移一行的方法是( )。 A、next() B、absolute(int row) C、previous() D、last() 参考答案 : A 答案说明 : next() 将游标从当前位置向下移一行; absolute(int row) 将游标移动到此 ResultSet 对象的指定行; previous() 将游标移动到此 ResultSet 对象的上一行; last() 将游标移动到此 ResultSet 对象的最后一行。...
java Statement详细用法
yaomenglan69的专栏
11-02 529
通用SQL语句大全:参数化与非参数化查询方法
同时,说明了这些SQL语句可能包括使用参数化查询的方式,这种方式可以在执行SQL语句时动态替换其中的参数,以增加安全性,防止SQL注入攻击。不包含参数的SQL语句则可能是静态的,即每次执行的SQL语句结构是固定的。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值