`
lovnet
  • 浏览: 6897505 次
  • 性别: Icon_minigender_1
  • 来自: 武汉
文章分类
社区版块
存档分类
最新评论

SqlParameter的作用与用法

 
阅读更多

最近开始敲了两条线,发现以前对数据库的操作是不安全的,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个SqlParameter的参数。它表示SqlCommand 的参数,也可以是它到 DataSet 列的映射。 此类不能被继承。



一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。

  1. string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter   
    SqlConnection conn = new SqlConnection();   
    conn.ConnectionString = "Data Source=数据库连接部分";//连接字符串与数据库有关   
    SqlCommand cmd = new SqlCommand(sql, conn);   
    try   
    {   
    conn.Open();   
    return(cmd.
    ExecuteNonQuery());   
    }   
    catch (Exception)   
    {   
    return -1;   
    throw;   
    }   
    finally   
    {   
    conn.Close();   
    } 

上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。



一、Add方法

  1. SqlParameter sp = new SqlParameter("@name", "Pudding");   
    cmd.Parameters.Add(sp);   
    sp = new SqlParameter("@ID", "1");   
    cmd.Parameters.Add(sp); 

该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。

二、AddRange方法

自己再D层写的对数据库的代码操作

Public Class SqlBasicData : Implements [Interface].IBasicData
    Dim strConnStr As String = System.Configuration.ConfigurationSettings.AppSettings("ConnStr")
    Dim conn As SqlConnection = New SqlConnection(strConnStr)
    ''' <summary>
    ''' 更新基本信息数据到数据库表
    ''' </summary>
    ''' <param name="enBasicData">实体生成的对象</param>
    ''' <returns>Boolean,判断是否写入成功</returns>
    ''' <remarks></remarks>
    Public Function UpdateBasic(ByVal enBasicData As Entity.BasicData) As Boolean Implements [Interface].IBasicData.UpdateBasic
        Dim Isbtn As Boolean = False  '是否成功标志
        Dim i As Integer '定义一个变量
        Dim sql As String
        '参数集合()
        Dim paras As SqlParameter() = {New SqlParameter("@sngRate", enBasicData.B_sngRate),
                                    New SqlParameter("@tempRate", enBasicData.B_tempRate),
                                    New SqlParameter("@intAddTime", enBasicData.B_intAddTime),
                                    New SqlParameter("@leastTime", enBasicData.B_leastTime),
                                    New SqlParameter("@intReadyTime", enBasicData.B_intReadyTime),
                                    New SqlParameter("@sngLeastRecharge", enBasicData.B_sngLeastRecharge),
                                    New SqlParameter("@setDate", enBasicData.B_Date),
                                    New SqlParameter("@setTime", enBasicData.B_setTime),
                                    New SqlParameter("@strAdmin", enBasicData.B_strAdmin)
                                    }
        '要执行操作的sql语句
        sql = "update T_BasicData_info set sngRate=@sngRate ,tempRate=@tempRate,intAddTime=@intAddTime,leastTime=@leastTime,intReadyTime=@intReadyTime,sngLeastRecharge=@sngLeastRecharge,setDate=@setDate,setTime=@setTime where strAdmin=1 "
        '判断写到数据库成功与否的影响的函数
        i = SqlHelper.DBHelper.ExecuteNoQuery(sql, CommandType.Text, paras)

        If i > 0 Then
            Isbtn = True
        End If
        Return Isbtn
        conn.Close()
    End Function


从上面的SqlHelper跳转到里面执行

''' <summary>
    ''' 有参数的非查询的操作
    ''' </summary>
    ''' <param name="cmdText">增删改语句或者存储过程</param>
    ''' <param name="cmdType">命令类型文本或者存储过程</param>
    ''' <param name="paras">参数数组</param>
    ''' <returns></returns>
    ''' <remarks></remarks>
    Public Shared Function ExecuteNoQuery(ByVal cmdText As String, ByVal cmdType As CommandType, ByVal paras As SqlParameter()) As Integer

        '定义一个连接字符串
        Dim strConnStr As String = System.Configuration.ConfigurationManager.AppSettings("ConnStr")
        '定义一个数据库连接对象
        Dim conn As SqlConnection = New SqlConnection(strConnStr)
        Dim cmd As New SqlCommand '定义一个命令对象
        Dim res As Integer '定义一个变量用户存放返回结果
        cmd = New SqlCommand(cmdText, conn)
        cmd.CommandType = cmdType
        cmd.Parameters.AddRange(paras)
        Try
            '打开数据连接
            If conn.State = ConnectionState.Closed Then
                conn.Open()

            End If
            '执行查询操作
            res = cmd.ExecuteNonQuery()

        Catch ex As Exception
            MsgBox(ex.Message, , "数据库操作")
        Finally
            '关闭数据库连接
            If conn.State = ConnectionState.Open Then
                conn.Close()

            End If
        End Try
        Return res '返回受影响的行数
    End Function


分享到:
评论

相关推荐

    SqlParameter的用法

    本文将深入探讨`SqlParameter`的使用方法及其重要性。 #### 一、SqlParameter简介 `SqlParameter`是System.Data.SqlClient命名空间下的一个类,用于表示SQL Server存储过程中的输入参数、输出参数和返回值等。通过...

    C#SqlParameter参数写法

    下面将详细介绍如何使用`SqlParameter`以及其在SQL查询执行中的具体作用。 ### C# SqlParameter 参数详解 `SqlParameter`类是用于存储SQL参数的.NET Framework类。在进行数据库操作时,它能有效地防止SQL注入攻击...

    C#中SqlParameter类使用方法小结.doc

    C#中SqlParameter类使用方法小结.doc

    ADO.NET中命令参数(SqlParameter)使用示例

    下面我们将深入探讨SqlCommand和SqlParameter的使用。 首先,我们创建一个SqlConnection对象,它代表到SQL Server数据库的连接。我们需要提供连接字符串,该字符串包含了数据库的详细信息,如服务器名称、数据库名...

    详解C#中SqlParameter的作用与用法

    本文将详细解析SqlParameter的作用及其用法,特别是在防止SQL注入和处理复杂数据类型方面的重要性。 首先,我们要了解SQL注入的风险。在直接拼接SQL语句时,如果用户输入的数据未经验证,恶意用户可能会注入恶意SQL...

    C# 中SqlParameter类的使用方法小结.docx

    C# 中 SqlParameter 类的使用方法小结 在 C# 中,SqlParameter 类是一个非常重要的类,它可以帮助我们避免 SQL 注入的危害。下面我们将详细讲解 SqlParameter 类的使用方法和避免 SQL 注入的技巧。 一、直接在 SQL...

    SqlParameter的简单应用实现[C#]

    了解了基本用法后,我们还可以进一步探索SqlParameter的高级特性,比如Size、Precision和Scale属性,用于指定字符串、数字和日期时间类型的精度和长度。Direction属性可以设置参数的方向(输入、输出、输入/输出或...

    C# 中用 Sqlparameter 的两种用法

    C# 中用 Sqlparameter 的两种用法是指在 C# 语言中使用 Sqlparameter 对象来执行 SQL 语句或存储过程的两种方法。 Sqlparameter 对象是 ADO.NET 中的一种参数对象,它可以用来将参数传递给 SQL 语句或存储过程,从而...

    SQL中in参数化的用法

    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" }); comm.ExecuteNonQuery(); } ``` 但是,这种方法存在一个问题,即参数 @UserID 会自动在参数两侧加入单引号,...

    【ASP.NET编程知识】数据库SqlParameter 的插入操作,防止sql注入的实现代码.docx

    在ASP.NET编程中,我们可以使用SqlParameter来执行INSERT、UPDATE、DELETE等操作。 二、防止SQL注入的实现代码 在下面的示例中,我们将展示如何使用SqlParameter来插入数据,防止SQL注入攻击: ```csharp ...

    数据库SqlParameter 的插入操作,防止sql注入的实现代码

    在给定的代码示例中,使用了`SqlParameter`来实现数据库插入操作,并且有效地防止了SQL注入攻击。以下是对这段代码的详细解析: 1. **SqlConnection与ConnectionString**: `SqlConnection`是.NET Framework中的类...

    SQL参数化(防止SQL注入)

    第一个方式使用DBHlep类,通过params SqlParameter[] values参数来传递参数。第二个方式使用DBhelp类,通过SqlParameterCollection对象来传递参数。 在第一个方式中,我们可以看到ExecuteCommand方法,它接受一个...

    asp.net SqlParameter如何根据条件有选择的添加参数

    我们还需要注意,使用SqlParameter对象不仅仅可以保证查询的安全性,还可以确保数据类型的正确性,提高查询效率。在构建参数列表后,我们可以使用类似SqlHelper这样的类来执行查询操作,并通过SqlDataReader对象读取...

    封装sql类方法

    在上述方法中,我们使用`SqlParameter`对象传递参数。例如: ```csharp SqlParameter param = new SqlParameter("@paramName", SqlDbType.VarChar); param.Value = paramNameValue; ExecuteNonQuery...

    C#ADO.NET中如何在要执行的sql语句中使用变量

    SqlParameter parn1 = new SqlParameter("@a", Name_string); command.Parameters.Add(parn1); SqlParameter parn2 = new SqlParameter("@b", ceo_string); command.Parameters.Add(parn2); SqlParameter parn3 = ...

    SQL参数化-防SQL注入

    在上面的代码中,我们使用SqlParameter对象来添加参数@sex和@age,这样可以防止SQL注入。 参数化还可以提高数据库的安全性,因为它可以防止恶意代码的注入。例如,在查询UserInfo表中所有用户时,我们可以使用参数@...

Global site tag (gtag.js) - Google Analytics