最近在项目上遇到几个问题,关于ADO.NET中SQL绑定变量

总结一下,分享给大家。

1. 使用 SqlParameter(推荐方式,防止 SQL 注入)

ADO.NET 提供 SqlParameter 来绑定变量,从而提高安全性和性能。

  • 防止 SQL 注入攻击。
  • 支持各种数据类型,避免 SQL 解析器重新编译。
using System;

using System.Data;

using System.Data.SqlClient;

class Program

{

    static void Main()

    {

        string connectionString = "your_connection_string";

        string query = "SELECT * FROM Users WHERE Username = @Username";

        using (SqlConnection conn = new SqlConnection(connectionString))

        using (SqlCommand cmd = new SqlCommand(query, conn))

        {

            cmd.Parameters.Add(new SqlParameter("@Username", SqlDbType.NVarChar) { Value = "test_user" });

            conn.Open();

            using (SqlDataReader reader = cmd.ExecuteReader())

            {

                while (reader.Read())

                {

                    Console.WriteLine(reader["Username"]);

                }

            }

        }

    }

}

2. 使用 AddWithValue 方法

如果不需要显式指定参数类型,可以用 AddWithValue 直接传值:

cmd.Parameters.AddWithValue("@Username", "test_user");

需要注意以下2个问题:

  • AddWithValue 可能导致隐式转换,影响性能(比如 intnvarchar)。
  • 适用于简单情况,但不推荐用于复杂查询。

3. 存储过程(Stored Procedure)+ 绑定变量

绑定变量也可以用于存储过程,提高安全性和代码复用性。

  • 提高 SQL 复用性和执行效率(缓存执行计划)。
  • 更安全,避免 SQL 注入。

SQL Server 端(创建存储过程):

CREATE PROCEDURE GetUserByUsername

    @Username NVARCHAR(50)

AS

BEGIN

    SELECT * FROM Users WHERE Username = @Username

END

C#调用代码

cmd.CommandType = CommandType.StoredProcedure;

cmd.CommandText = "GetUserByUsername";

cmd.Parameters.Add(new SqlParameter("@Username", SqlDbType.NVarChar) { Value = "test_user" });

4. 批量绑定变量(Table-Valued Parameter,TVP)

如果需要传递多个值给 SQL 查询,可以使用 TVP 绑定变量,提高批量操作的性能。

  • 适用于批量查询或批量插入,提高性能。
  • 避免循环执行 SQL 语句的开销。

SQL Server 端(创建 TVP 类型):

CREATE TYPE UserTableType AS TABLE

(

    UserId INT

)

C# 代码(传递多个 UserId):

DataTable userTable = new DataTable();

userTable.Columns.Add("UserId", typeof(int));

userTable.Rows.Add(1);

userTable.Rows.Add(2);

using (SqlCommand cmd = new SqlCommand("SELECT * FROM Users WHERE UserId IN (SELECT UserId FROM @UserTable)", conn))

{

    cmd.Parameters.Add(new SqlParameter("@UserTable", SqlDbType.Structured) { TypeName = "UserTableType", Value = userTable });

}

以上是C# ADO.NET 绑定变量的几种常见模式和示例代码。

周国庆

2025/3/16

ADO.NET中SQL绑定变量方式总结的更多相关文章

  1. Oracle 项目中 SQL 脚本更新方式

    DECLARE hasVersion ); dbVersion ); BEGIN ) INTO hasVersion FROM ELB_SETTINGS E WHERE E.KEY='dbVersio ...

  2. ADO.NET中SQL Server数据库连接池

    连接到数据库服务器通常由几个需要很长时间的步骤组成. 必须建立物理通道(例如套接字或命名管道),必须与服务器进行初次握手,必须分析连接字符串信息,必须由服务器对连接进行身份验证,必须运行检查以便在当前 ...

  3. [转]SQL注入漏洞及绑定变量浅谈

    1.一个问题引发的思考 大家在群里讨论了一个问题,奉文帅之命写篇作文,且看: String user_web = "user_web" String sql = "upd ...

  4. SQL优化 | Oracle 绑定变量

    之前整理过一篇有关绑定变量的文章,不太详细,重新补充一下. Oracle 绑定变量 http://www.cndba.cn/Dave/article/1275 一.绑定变量 bind variable ...

  5. Oracle SQL调优之绑定变量用法简介

    目录 一.SQL执行过程简介 二.绑定变量典型用法 2.1.在SQL中绑定变量 2.2.在PL/SQL中使用绑定变量 2.3.PL/SQL批量绑定变量 2.4.Java代码里使用绑定变量 最近在看&l ...

  6. PL/SQL之--变量

    一.PL/SQL 简介 PL/SQL也是一种程序语言,叫做过程化SQL语言(Procedural Language/SQL).PL/SQL是oracle对sql语句的一种扩展,在普通SQL语句的使用上 ...

  7. MySQL高级特性——绑定变量

    从MySQL 4.1 版本开始,就支持服务器端的绑定变量,这大大提高了客户端和服务器端数据传输的效率 介绍 当创建一个绑定变量 SQL 时,客户端会向服务器发送一个SQL语句的原型.服务器端收到这个S ...

  8. ORACLE获取SQL绑定变量值的方法总结

      本文总结一下ORACLE数据库中如何获取SQL绑定变量值的方法,在SQL优化调优过程中,经常会用到这方面的知识点.在此梳理.总结一下,方面日后查找.翻阅. 方法1:查询V$SQL V$SQL视图中 ...

  9. MSSQL2012中SQL调优(SQL TUNING)时CBO支持和常用的hints

    虽然当前各关系库CBO都已经非常先进和智能,但因为关系库理论和实现上的限制,CBO在特殊场景下也会给出次优甚至存在严重性能问题的执行计划,而这些场景中,有一部分只能或适合通过关系库提供的hints来进 ...

  10. OTL翻译(5) -- otl_stream流相关绑定变量

    声明绑定变量 本章节将详细的说明如何在otl_stream流里面声明绑定变量. SQL语句.SQL语句块或存储过程在程序里面使用的时候总是带有占位符.OTL里面带有一个小的解析器用来解析这些占位符,并 ...

随机推荐

  1. debian/ubuntu系统vi无法删除字符的解决办法

    之前在 Linux 下操作,一直使用的是 Centos 系统,使用 vi 编辑命令一直很顺畅. 最近,入手了一台 debian 操作系统的 vps.在操作 vi 命令时,发现当输入 i 要进行文件编辑 ...

  2. Anaconda下载以前的旧版本

    由于Anaconda新的版本,可能不太适合我们当前开发,我们需要下载历史版本. 可以尝试从两个地方下载:1.推荐从 "清华大学开源软件镜像站" 下载:https://mirrors ...

  3. 开源即时通讯IM框架MobileIMSDK的微信小程序端技术概览

    一.基本介绍 MobileIMSDK - 微信小程序端是一套基于微信原生 WebSocket 的即时通讯库: 1)超轻量级.无任何第 3 方库依赖(开箱即用): 2)纯 JS 编写.ES6 语法.高度 ...

  4. 冷水机超频AMD 2600X 4.5G

    整个测试大概持续了一个半小时,期间水温保持在2度左右(±1摄氏度).后来开始冷凝,而且超频也到了4.5G瓶颈,所以停了下来. 全核4.4G过R154.5G过CPU-Z认证(点击查看)温度表现,一般吧. ...

  5. CH32V203F6P6-TSSOP20测试之01---初次测试

    一.收到空板 今天收到嘉立创打样的CH32V203F6P6-TSSOP20测试板子, 二.焊上元件 赽快焊接上元件并作测试. 三.上机测试 插好USB线,运行WCHISPStudio, 按BOOT不放 ...

  6. 巧用VTable打造炫酷金字塔图表

    在数据分析和可视化领域,表格是展示数据直观.有效的方式之一.今天,就让我们来探索如何利用VTable这个强大的表格组件,制作出既美观又富有信息量的金字塔图表,以及深入了解VTable中各种单元格类型的 ...

  7. ClickHouse-2接口

    客户端 ClickHouse提供了两个网络接口(两个都可以选择包装在TLS中以增加安全性): HTTP, 包含文档,易于使用. Native TCP,简单,方便使用. 在大多数情况下,建议使用适当的工 ...

  8. C# WebAPI 插件热插拔

    背景 WebAPI 插件热插拔是指在不重启应用程序的情况下,能够动态地加载.更新或卸载功能模块(即插件)的能力.这种设计模式在软件开发中非常有用,尤其是在需要频繁更新或扩展功能的大型系统中.通过实现插 ...

  9. Flink On Yarn的两种部署模式

    一.内存Job管理模式yarn-per-job 使用介绍:常用的模式 二.内存集中管理模式yarn-session 使用介绍:当作业很少并且都较小,能快速执行完成时,可以使用.否则一般不会使用该模式 ...

  10. dp 常见套路总结

    dp 里存的东西值域不大的时候,考虑把状态中某一维和 dp 里存的东西交换,进行 dp. 连续段 dp 时,考虑把连续段化为对每个元素考虑接上一个元素. dp 里的值可能存在某个上界,超过这个值一定不 ...