我是 C# 的新手,我想知道。
在C#中构建SQL字符串时,为什么我们需要使用SqlParameter对象来表示用户的输入,而不是直接传入字符串?
【问题讨论】:
标签: ado.net parameterized-query
我假设你的意思是为什么最好写:
command.Text = "SELECT LastName FROM MyUsers WHERE FirstName = @FirstName";
// Or whichever form...
command.Parameters.AddParameter("@FirstName").Value = input;
而不是
command.Text = "SELECT LastName FROM MyUsers WHERE FirstName = '" + input + "'";
后一种形式存在三个问题:
它允许SQL Injection Attacks 除非您非常小心地转义 - 上面的代码不是。想象一下,如果用户输入以下内容,SQL 会是什么样子:
' OR 'x' = 'x
它混合了代码和数据。你看不到你想要做什么的清晰表示,而第一种形式显示哪些位是固定的,哪些是可变输入
虽然对于 字符串 来说不是问题,但参数避免了不必要的数据转换。例如,当使用日期或日期/时间值时,使用第二种方法时,您最终需要担心数据库将接受哪些文本格式,即使您已经开始使用DateTime值(比方说),数据库将以某种适当的日期/时间类型的值结束。通过字符串表示只会带来麻烦。
此外,在某些情况下,第一种方法可能会提高性能,允许数据库缓存查询执行计划。不过,这方面有很多细微差别,而且是特定于数据库的。
【讨论】:
简单来说,为了避免 SQL 注入攻击,并且在某种程度上它还可以提高性能,因为我们为该参数指定了数据类型、大小等。
如果你只是想避免SQL注入,我想你可以使用
command.Text = "SELECT LastName FROM MyUsers WHERE FirstName = '" + input.Replace("'","''") + "'";
【讨论】: