最近开始敲了两条线,发现以前对数据库的操作是不安全的,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个SqlParameter的参数。它表示SqlCommand
的参数,也可以是它到 DataSet 列的映射。 此类不能被继承。
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。
-
string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter
SqlConnection conn = new SqlConnection();
conn.ConnectionString = "Data Source=数据库连接部分";//连接字符串与数据库有关
SqlCommand cmd = new SqlCommand(sql, conn);
try
{
conn.Open();
return(cmd.
ExecuteNonQuery());
}
catch (Exception)
{
return -1;
throw;
}
finally
{
conn.Close();
}
上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。
一、Add方法
-
SqlParameter sp = new SqlParameter("@name", "Pudding");
cmd.Parameters.Add(sp);
sp = new SqlParameter("@ID", "1");
cmd.Parameters.Add(sp);
该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。
二、AddRange方法
自己再D层写的对数据库的代码操作
Public Class SqlBasicData : Implements [Interface].IBasicData
Dim strConnStr As String = System.Configuration.ConfigurationSettings.AppSettings("ConnStr")
Dim conn As SqlConnection = New SqlConnection(strConnStr)
''' <summary>
''' 更新基本信息数据到数据库表
''' </summary>
''' <param name="enBasicData">实体生成的对象</param>
''' <returns>Boolean,判断是否写入成功</returns>
''' <remarks></remarks>
Public Function UpdateBasic(ByVal enBasicData As Entity.BasicData) As Boolean Implements [Interface].IBasicData.UpdateBasic
Dim Isbtn As Boolean = False '是否成功标志
Dim i As Integer '定义一个变量
Dim sql As String
'参数集合()
Dim paras As SqlParameter() = {New SqlParameter("@sngRate", enBasicData.B_sngRate),
New SqlParameter("@tempRate", enBasicData.B_tempRate),
New SqlParameter("@intAddTime", enBasicData.B_intAddTime),
New SqlParameter("@leastTime", enBasicData.B_leastTime),
New SqlParameter("@intReadyTime", enBasicData.B_intReadyTime),
New SqlParameter("@sngLeastRecharge", enBasicData.B_sngLeastRecharge),
New SqlParameter("@setDate", enBasicData.B_Date),
New SqlParameter("@setTime", enBasicData.B_setTime),
New SqlParameter("@strAdmin", enBasicData.B_strAdmin)
}
'要执行操作的sql语句
sql = "update T_BasicData_info set sngRate=@sngRate ,tempRate=@tempRate,intAddTime=@intAddTime,leastTime=@leastTime,intReadyTime=@intReadyTime,sngLeastRecharge=@sngLeastRecharge,setDate=@setDate,setTime=@setTime where strAdmin=1 "
'判断写到数据库成功与否的影响的函数
i = SqlHelper.DBHelper.ExecuteNoQuery(sql, CommandType.Text, paras)
If i > 0 Then
Isbtn = True
End If
Return Isbtn
conn.Close()
End Function
从上面的SqlHelper跳转到里面执行
''' <summary>
''' 有参数的非查询的操作
''' </summary>
''' <param name="cmdText">增删改语句或者存储过程</param>
''' <param name="cmdType">命令类型文本或者存储过程</param>
''' <param name="paras">参数数组</param>
''' <returns></returns>
''' <remarks></remarks>
Public Shared Function ExecuteNoQuery(ByVal cmdText As String, ByVal cmdType As CommandType, ByVal paras As SqlParameter()) As Integer
'定义一个连接字符串
Dim strConnStr As String = System.Configuration.ConfigurationManager.AppSettings("ConnStr")
'定义一个数据库连接对象
Dim conn As SqlConnection = New SqlConnection(strConnStr)
Dim cmd As New SqlCommand '定义一个命令对象
Dim res As Integer '定义一个变量用户存放返回结果
cmd = New SqlCommand(cmdText, conn)
cmd.CommandType = cmdType
cmd.Parameters.AddRange(paras)
Try
'打开数据连接
If conn.State = ConnectionState.Closed Then
conn.Open()
End If
'执行查询操作
res = cmd.ExecuteNonQuery()
Catch ex As Exception
MsgBox(ex.Message, , "数据库操作")
Finally
'关闭数据库连接
If conn.State = ConnectionState.Open Then
conn.Close()
End If
End Try
Return res '返回受影响的行数
End Function
分享到:
相关推荐
本文将深入探讨`SqlParameter`的使用方法及其重要性。 #### 一、SqlParameter简介 `SqlParameter`是System.Data.SqlClient命名空间下的一个类,用于表示SQL Server存储过程中的输入参数、输出参数和返回值等。通过...
下面将详细介绍如何使用`SqlParameter`以及其在SQL查询执行中的具体作用。 ### C# SqlParameter 参数详解 `SqlParameter`类是用于存储SQL参数的.NET Framework类。在进行数据库操作时,它能有效地防止SQL注入攻击...
C#中SqlParameter类使用方法小结.doc
下面我们将深入探讨SqlCommand和SqlParameter的使用。 首先,我们创建一个SqlConnection对象,它代表到SQL Server数据库的连接。我们需要提供连接字符串,该字符串包含了数据库的详细信息,如服务器名称、数据库名...
本文将详细解析SqlParameter的作用及其用法,特别是在防止SQL注入和处理复杂数据类型方面的重要性。 首先,我们要了解SQL注入的风险。在直接拼接SQL语句时,如果用户输入的数据未经验证,恶意用户可能会注入恶意SQL...
C# 中 SqlParameter 类的使用方法小结 在 C# 中,SqlParameter 类是一个非常重要的类,它可以帮助我们避免 SQL 注入的危害。下面我们将详细讲解 SqlParameter 类的使用方法和避免 SQL 注入的技巧。 一、直接在 SQL...
了解了基本用法后,我们还可以进一步探索SqlParameter的高级特性,比如Size、Precision和Scale属性,用于指定字符串、数字和日期时间类型的精度和长度。Direction属性可以设置参数的方向(输入、输出、输入/输出或...
C# 中用 Sqlparameter 的两种用法是指在 C# 语言中使用 Sqlparameter 对象来执行 SQL 语句或存储过程的两种方法。 Sqlparameter 对象是 ADO.NET 中的一种参数对象,它可以用来将参数传递给 SQL 语句或存储过程,从而...
comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" }); comm.ExecuteNonQuery(); } ``` 但是,这种方法存在一个问题,即参数 @UserID 会自动在参数两侧加入单引号,...
在ASP.NET编程中,我们可以使用SqlParameter来执行INSERT、UPDATE、DELETE等操作。 二、防止SQL注入的实现代码 在下面的示例中,我们将展示如何使用SqlParameter来插入数据,防止SQL注入攻击: ```csharp ...
在给定的代码示例中,使用了`SqlParameter`来实现数据库插入操作,并且有效地防止了SQL注入攻击。以下是对这段代码的详细解析: 1. **SqlConnection与ConnectionString**: `SqlConnection`是.NET Framework中的类...
第一个方式使用DBHlep类,通过params SqlParameter[] values参数来传递参数。第二个方式使用DBhelp类,通过SqlParameterCollection对象来传递参数。 在第一个方式中,我们可以看到ExecuteCommand方法,它接受一个...
我们还需要注意,使用SqlParameter对象不仅仅可以保证查询的安全性,还可以确保数据类型的正确性,提高查询效率。在构建参数列表后,我们可以使用类似SqlHelper这样的类来执行查询操作,并通过SqlDataReader对象读取...
在上述方法中,我们使用`SqlParameter`对象传递参数。例如: ```csharp SqlParameter param = new SqlParameter("@paramName", SqlDbType.VarChar); param.Value = paramNameValue; ExecuteNonQuery...
SqlParameter parn1 = new SqlParameter("@a", Name_string); command.Parameters.Add(parn1); SqlParameter parn2 = new SqlParameter("@b", ceo_string); command.Parameters.Add(parn2); SqlParameter parn3 = ...
在上面的代码中,我们使用SqlParameter对象来添加参数@sex和@age,这样可以防止SQL注入。 参数化还可以提高数据库的安全性,因为它可以防止恶意代码的注入。例如,在查询UserInfo表中所有用户时,我们可以使用参数@...