最近在项目上遇到几个问题,关于ADO.NET中SQL绑定变量

总结一下,分享给大家。

1. 使用 SqlParameter(推荐方式,防止 SQL 注入)

ADO.NET 提供 SqlParameter 来绑定变量,从而提高安全性和性能。

  • 防止 SQL 注入攻击。
  • 支持各种数据类型,避免 SQL 解析器重新编译。
using System;

using System.Data;

using System.Data.SqlClient;

class Program

{

    static void Main()

    {

        string connectionString = "your_connection_string";

        string query = "SELECT * FROM Users WHERE Username = @Username";

        using (SqlConnection conn = new SqlConnection(connectionString))

        using (SqlCommand cmd = new SqlCommand(query, conn))

        {

            cmd.Parameters.Add(new SqlParameter("@Username", SqlDbType.NVarChar) { Value = "test_user" });

            conn.Open();

            using (SqlDataReader reader = cmd.ExecuteReader())

            {

                while (reader.Read())

                {

                    Console.WriteLine(reader["Username"]);

                }

            }

        }

    }

}

2. 使用 AddWithValue 方法

如果不需要显式指定参数类型,可以用 AddWithValue 直接传值:

cmd.Parameters.AddWithValue("@Username", "test_user");

需要注意以下2个问题:

  • AddWithValue 可能导致隐式转换,影响性能(比如 intnvarchar)。
  • 适用于简单情况,但不推荐用于复杂查询。

3. 存储过程(Stored Procedure)+ 绑定变量

绑定变量也可以用于存储过程,提高安全性和代码复用性。

  • 提高 SQL 复用性和执行效率(缓存执行计划)。
  • 更安全,避免 SQL 注入。

SQL Server 端(创建存储过程):

CREATE PROCEDURE GetUserByUsername

    @Username NVARCHAR(50)

AS

BEGIN

    SELECT * FROM Users WHERE Username = @Username

END

C#调用代码

cmd.CommandType = CommandType.StoredProcedure;

cmd.CommandText = "GetUserByUsername";

cmd.Parameters.Add(new SqlParameter("@Username", SqlDbType.NVarChar) { Value = "test_user" });

4. 批量绑定变量(Table-Valued Parameter,TVP)

如果需要传递多个值给 SQL 查询,可以使用 TVP 绑定变量,提高批量操作的性能。

  • 适用于批量查询或批量插入,提高性能。
  • 避免循环执行 SQL 语句的开销。

SQL Server 端(创建 TVP 类型):

CREATE TYPE UserTableType AS TABLE

(

    UserId INT

)

C# 代码(传递多个 UserId):

DataTable userTable = new DataTable();

userTable.Columns.Add("UserId", typeof(int));

userTable.Rows.Add(1);

userTable.Rows.Add(2);

using (SqlCommand cmd = new SqlCommand("SELECT * FROM Users WHERE UserId IN (SELECT UserId FROM @UserTable)", conn))

{

    cmd.Parameters.Add(new SqlParameter("@UserTable", SqlDbType.Structured) { TypeName = "UserTableType", Value = userTable });

}

以上是C# ADO.NET 绑定变量的几种常见模式和示例代码。

周国庆

2025/3/16

ADO.NET中SQL绑定变量方式总结的更多相关文章

  1. Oracle 项目中 SQL 脚本更新方式

    DECLARE hasVersion ); dbVersion ); BEGIN ) INTO hasVersion FROM ELB_SETTINGS E WHERE E.KEY='dbVersio ...

  2. ADO.NET中SQL Server数据库连接池

    连接到数据库服务器通常由几个需要很长时间的步骤组成. 必须建立物理通道(例如套接字或命名管道),必须与服务器进行初次握手,必须分析连接字符串信息,必须由服务器对连接进行身份验证,必须运行检查以便在当前 ...

  3. [转]SQL注入漏洞及绑定变量浅谈

    1.一个问题引发的思考 大家在群里讨论了一个问题,奉文帅之命写篇作文,且看: String user_web = "user_web" String sql = "upd ...

  4. SQL优化 | Oracle 绑定变量

    之前整理过一篇有关绑定变量的文章,不太详细,重新补充一下. Oracle 绑定变量 http://www.cndba.cn/Dave/article/1275 一.绑定变量 bind variable ...

  5. Oracle SQL调优之绑定变量用法简介

    目录 一.SQL执行过程简介 二.绑定变量典型用法 2.1.在SQL中绑定变量 2.2.在PL/SQL中使用绑定变量 2.3.PL/SQL批量绑定变量 2.4.Java代码里使用绑定变量 最近在看&l ...

  6. PL/SQL之--变量

    一.PL/SQL 简介 PL/SQL也是一种程序语言,叫做过程化SQL语言(Procedural Language/SQL).PL/SQL是oracle对sql语句的一种扩展,在普通SQL语句的使用上 ...

  7. MySQL高级特性——绑定变量

    从MySQL 4.1 版本开始,就支持服务器端的绑定变量,这大大提高了客户端和服务器端数据传输的效率 介绍 当创建一个绑定变量 SQL 时,客户端会向服务器发送一个SQL语句的原型.服务器端收到这个S ...

  8. ORACLE获取SQL绑定变量值的方法总结

      本文总结一下ORACLE数据库中如何获取SQL绑定变量值的方法,在SQL优化调优过程中,经常会用到这方面的知识点.在此梳理.总结一下,方面日后查找.翻阅. 方法1:查询V$SQL V$SQL视图中 ...

  9. MSSQL2012中SQL调优(SQL TUNING)时CBO支持和常用的hints

    虽然当前各关系库CBO都已经非常先进和智能,但因为关系库理论和实现上的限制,CBO在特殊场景下也会给出次优甚至存在严重性能问题的执行计划,而这些场景中,有一部分只能或适合通过关系库提供的hints来进 ...

  10. OTL翻译(5) -- otl_stream流相关绑定变量

    声明绑定变量 本章节将详细的说明如何在otl_stream流里面声明绑定变量. SQL语句.SQL语句块或存储过程在程序里面使用的时候总是带有占位符.OTL里面带有一个小的解析器用来解析这些占位符,并 ...

随机推荐

  1. 9.4classtest rewrite(仓库管理系统)

    第一部分,设计界面以及类的定义. import java.util.Scanner; public class viovo { static int number = 5;//五个商品信息 stati ...

  2. error C2664: “HANDLE FindFirstFileW(LPCWSTR,LPWIN32_FIND_DATAW)”: 无法将参数 1 从“const _Elem *”转换为“LPCWSTR”

    Error 30 error C2664: 'HANDLE FindFirstFileW(LPCWSTR,LPWIN32_FIND_DATAW)' : 不能将参数 1 从"char [260 ...

  3. 深入剖析数据删除操作:DELETE 语句的使用与管理实践

    title: 深入剖析数据删除操作:DELETE 语句的使用与管理实践 date: 2025/1/8 updated: 2025/1/8 author: cmdragon excerpt: 数据删除( ...

  4. Solution Set -「NOIP Simu.」20221011

    「Unknown」找   给出平面上 \(n\) 个点, 对于每个点, 求出它到其他点的欧式距离平方和.   \(n\le2\times10^5\).   Tag:「水题无 tag」   画风正常的签 ...

  5. Kubernetes kubeadm部署k8s集群

    ​kubeadm​​​是​​Kubernetes​​​项目自带的及集群构建工具,负责执行构建一个最小化的可用集群以及将其启动等的必要基本步骤,​​kubeadm​​​是​​Kubernetes​​​集 ...

  6. .NET 数据拷贝方案选择

    应用中我们经常使用到数据的复制,在.NET中有多种方式可以实现复制数据或对象.选择哪种方式通.是浅拷贝还是深拷贝,取决于对象的复杂性.数据量以及具体需求场景. 1. MemberwiseClone拷贝 ...

  7. AGC008

    AGC008 B 题目大意 给出一个序列,一开始全是白色,一次操作可以染黑或染白一段长度为 \(K\) 的区间,要让最后序列中黑色格子上数的和最大,求这个最大值. 解题思路 考虑找结论. 发现我们一定 ...

  8. 在日常工作和生活中使用Linux-开篇

    前言 欢迎来到<在日常工作和生活中使用Linux>的系列分享.在这个系列中,我们将探讨为什么选择Linux,以及如何在日常工作和生活中高效地使用它.无论你是刚刚接触Linux的新手,还是希 ...

  9. linux实现人脸识别锁定解锁

    环境 archlinux 桌面管理器i3wm 登录管理器 slim python 3.10.4 dlib pip install --user -i https://pypi.tuna.tsinghu ...

  10. LeetCode刷题:runtime error: reference binding to null pointer of type 'int' (stl_vector.h)报错请教

    题目:https://leetcode.cn/problems/merge-intervals/ 错误代码: // 思路初探:做了很多道类似区间操作的题目了.本题就是尽可能少的创建新区间 // 1.首 ...