ADO.NET基础琐碎总结-----参数化查询

       参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。

      说起参数化查询当然最主要的就是如何构造所谓的参数:比如,我们登陆时需要密码和用户名,一般我们会这样写sql语句,Select * from Login where  username= @Username and password = @Password,为了防止sql注入,我们该如何构建@Username和@Password两个参数呢,下面提供六种(其实大部分原理都是一样,只不过代码表现形式不一样,以此仅作对比,方便使用)构建参数的方法,根据不同的情况选用合适的方法即可:

     说明:以下loginId和loginPwd是户登陆时输入登陆用户名和密码,DB.conn是数据库连接,用时引入using System.Data.SqlClient命名空间

      方法一:

SqlCommand command = new SqlCommand(sqlStr, DB.conn);
command.Parameters.Add("@Username", SqlDbType.VarChar);
command.Parameters.Add("@Pasword", SqlDbType.VarChar);
command.Parameters["@Username"].Value = loginId;
command.Parameters["@Pasword"].Value = loginPwd;

      方法二:

SqlCommand command = new SqlCommand();
command.Connection = DB.conn;
command.CommandText = sqlStr;
command.Parameters.Add(new SqlParameter("@Username", loginId));
command.Parameters.Add(new SqlParameter("@Pasword", loginPwd));

      方法三:

Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);
cmd.parameters.add("@Username",DbType.varchar).value=loginId;
cmd.parameters.add("@Pasword",DbType.varchar).value=loginPwd;

      方法四:

Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);
cmd.parameters.addwithvalue("@Username",loginId);
cmd.parameters.addwithvalue("@Pasword",loginPwd);

      方法五:

  Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);  
  SqlParameter para1=new SqlParameter("@Username",SqlDbType.VarChar,16);
  para1.Value=loginId;
  cmd.Parameters.Add(para1);
  SqlParameter para2=new SqlParameter("@Pasword",SqlDbType.VarChar,16);
  para2.Value=loginPwd;
  cmd.Parameters.Add(para2);

      方法六:

 SqlParameter[] parms = new SqlParameter[]
 {
     new SqlParameter("@Username", SqlDbType.NVarChar,20),
     new SqlParameter("@Pasword", SqlDbType.NVarChar,20),
 };
 SqlCommand cmd = new SqlCommand(sqlStr, DB.conn);
 // 依次给参数赋值
 parms[0].Value = loginId;
 parms[1].Value = loginPwd;
//将参数添加到SqlCommand命令中
foreach (SqlParameter parm in parms)
{
    cmd.Parameters.Add(parm);
}

      后记:鉴于园友对 是一样的,方法五只是分开写了。方法六用了c#3.0的特性——集合初始化器,代码也很清晰,原理同上,不再赘述。

 

-----------------------------------------------------------------------------------------------------------------------------------------------

 

作者:GavinDream(GavinDream主页 博客园
出处:http://www.cnblogs.com/fuchongjundream/
任何转载必须保留完整文章,在显要地方显示署名以及原文链接。如您有任何疑问或者授权方面的协商,请发邮件给我 或者 留言

 

 

 

相关文章:

  • 2022-01-17
  • 2022-12-23
  • 2022-12-23
  • 2021-12-22
  • 2021-07-07
  • 2021-05-22
  • 2022-02-12
  • 2021-11-24
猜你喜欢
  • 2021-11-28
  • 2022-01-14
  • 2022-01-21
  • 2021-10-15
  • 2021-08-06
  • 2022-12-23
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode