参数化查询  

  •  使用参数化查询的情景有很多,但最常用的情景是需要用户在查询中进行输入的情况。 

  有两种方法可供使用。第一,可以讲用户输入嵌入到查询字符串中,例如可能使用.NET Framework中的String.Format函数。  

  第二种方法是构造一种参数化查询。

       在开始时执行如下所示的基本查询: 

  

        select count(*) from UserInfo

   

      where UserName=‘{}’ and PassWord=‘{}’

  

       然后利用用户的输入构造如下查询:

1        select count(*) from UserInfo

2   

3

4      where UserName=‘myUserName’ and PassWord=‘myPassWord’’

    如果对正在执行的查询有一些了解,输入如下内容:NonUser' or 1=1 --,那么代码就会执行如下查询。

1        select count(*) from UserInfo

2   

3

4      where UserName=‘NonUser' or 1=1 --" and PassWord=‘myPassWord’’

  

    双连字符在SQL Server的查询语法中特别重要。它表示:该行后面的内容是注释。换句话说,and PassWord=‘myPassWord’被忽略了。

    现在,UserName=‘NonUser'并不成立,但where子句的另一半(1=1)对于所有行均成立。因此,该查询将成功执行。

  •     使用参数化查询。 

    代码示例:

        SqlConnectionStringBuilder connstr = new SqlConnectionStringBuilder();

             connstr.DataSource = "ZHANG-PC";

             connstr.InitialCatalog = "sq";

             connstr.IntegratedSecurity = true;

             using (SqlConnection conn = new SqlConnection(connstr.ConnectionString))

             {

                 conn.Open();

                 SqlCommand cmd = new SqlCommand();

                 cmd.CommandText = "select count(*) from UserInfo where UserName=@username and PassWord=@password";

                 cmd.Parameters.AddWithValue("@username","zyb12345");

                 cmd.Parameters.AddWithValue("@password","");

                 cmd.Connection = conn;

                 SqlDataReader read = cmd.ExecuteReader();

                 while (read.Read())

                 {

                     Console.WriteLine("userName:{0}", read.GetString());

                 }

                 conn.Close();

             }

   

 在ADO.NET中执行一个参数化查询,需要向Command对象的Parameters集合中添加Parameters对象。生成Parameters最简单的方法是:

  

调用SqlCommand对象的Parameters集合的AddWithValue函数。

      SqlCommand的Parameters集合中的AddWithValue方法。

       cmd.Parameters.AddWithValue("@username","zyb12345");

       cmd.Parameters.AddWithValue("@password","");

  

  或者

   

                 SqlParameter[] p = new SqlParameter[];

                 p[].ParameterName = "@username";

                 p[].Value = "zyb12345";

                 p[].ParameterName = "@password";

                 p[].Value = "";

                 cmd.Parameters.AddRange(p);

                 SqlDataReader read = cmd.ExecuteReader();

  • 参数数据类型

   可以设置SqlParameters对象的SqlDbType属性,以控制在向SQL Server数据库中传递参数信息时所使用的数据类型,即SqlDbType枚举中的值。

SqlDbType的枚举值有:Int,DateTime,Bit,Money,Image,NVarChar等,在下面的示例中,NVarChar对应的是.NET中的string类型。size(即15)代表字符串的长度,可根据需要设置size的值。

                 SqlParameter p;

                 p = new qlParameter("@username",SqlDbType.NVarChar,1);

                 p.Value = "zyb12345";

  • 参数方向

在本例中Sqlparameters是输入参数,有时需要输出参数,这时就要设置SqlParameter的参数方向了。此时不需要设置Value属性。代码如下:

                 SqlParameter w;

                 w = cmd.Parameters.Add("@username", SqlDbType.NVarChar);

                 w.Direction = ParameterDirection.Output;                         //设置参数方向

                 cmd.ExecuteNonQuery();                                           //执行语句

                 Console.Write(w.Value);                             //获取输出值(执行完数据查询后才能获取Value值)

    

    

    

    

ADO.NET 参数化查询的更多相关文章

  1. SQL Server 2008 R2——VC++ ADO 操作 参数化查询

    ==================================声明================================== 本文原创,转载在正文中显要的注明作者和出处,并保证文章的完 ...

  2. 关于ADO.NET参数化查询的提问

    最近我们的正式环境一直在报错一个异常,首先我贴出来异常信息 BLL层 捕获到了请求的url Net.BLL.MobileFun MobileFun.GetBusinessBidPolicy 异常 传入 ...

  3. ADO.net参数化查询陷阱

    避免SQL漏洞注入攻击,往往采用的是参数化查询!然而在使用参数化查询中,往往为了方便就直接通过构造方法来进行数据的初始化了,然而这样就引发一个这样的问题,当参数值为0时,就出现参数为空的情况了. 一. ...

  4. C# SqlServer Ado.net参数化查询插入null数据

    DateTime? dt=null; if (dt.HasValue) { cmd.Parameters.AddWithValue("@CreateDateTime", dt); ...

  5. 第19课-数据库开发及ado.net ADO.NET--SQLDataReader使用.SqlProFiler演示.ADoNET连接池,参数化查询.SQLHelper .通过App.Config文件获得连接字符串

    第19课-数据库开发及ado.net ADO.NET--SQLDataReader使用.SqlProFiler演示.ADoNET连接池,参数化查询.SQLHelper .通过App.Config文件获 ...

  6. ADO学习笔记之注入漏洞与参数化查询

    ADO学习笔记之注入漏洞与参数化查询 作为新手,在学习ADO程序时,使用 sql 语言查询数据时,很容易写类似如下代码: using (SqlConnection con = new SqlConne ...

  7. (ADO.NET)SqlCommand参数化查询

    string strcon = "Persist Security Info=False;User id=sa;pwd=lovemary;database=student;server=(l ...

  8. SQL参数化查询

    参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) ...

  9. SQL参数化查询自动生成SqlParameter列表

    string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数化查询是经常用到的,它可以有效防止SQL注入.但是需要手动去匹配参数@ ...

随机推荐

  1. Cocos2d-x中的CC_CALLBACK_X详解

    Cocos2d-x 3.x版本用CC_CALLBACK_0,CC_CALLBACK_1,CC_CALLBACK_2和CC_CALLBACK_3的宏来定义回调方法类的. 3.x版本的例子: child- ...

  2. 基于Asp.Net Core Mvc和EntityFramework Core 的实战入门教程系列-1

    来个目录吧: 第一章 第二章 第三章 暂时就这么多.后面路线更新吧 本系列文章为翻译加上我个人的使用心得理解,希望帮助热爱学习的程序员. 珍重声明:本系列文章会跟原文有点出入,去掉了罗里吧嗦的文字. ...

  3. GCD浅析

    p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Helvetica; color: #000000 } span.s1 { } 1.关于GCD ...

  4. hibernate jar包介绍

    Hibernate3.jar            这个是hibernate最主要的jar包 ant-1.63.jar      Ant 的核心包,在构建Hibernate 时会用到 antlr-2. ...

  5. jQuery测验题

    1.在div元素中,包含了一个<span>元素,通过has选择器获取<div>元素中的<span>元素的语法是? 提示使用has() $("div:has ...

  6. 用C#来学习唐诗三百首

    Begin 最近把项目做完了,闲来无事,就想做点好玩的事情,刚好前几天下载了[唐诗三百首]和[全唐诗]这两个txt文件,正好用C#来整理一下. [唐诗三百首]文件格式 [全唐诗]文件格式 目标 将每一 ...

  7. webots自学笔记(一)软件界面和简单模型仿真

    本人是某非理工类某高校大四狗,由于毕设研究需要使用webots软件,在学习使用webots的过程花费了很多时间.由于这个软件基本没有什么中文资料,所以想把自己所学到的一些东西写下来,如有什么错误的地方 ...

  8. 【2017-03-12】SQL Sever 子查询、聚合函数

    一.子查询 子查询:把一条查询语句,当做值来使用子句的查询结果必须是一列子句可以返回多行数据,但必须是一列 子句返回的值为一个值的时候: 例如: 我只知道c026这个编号,我要查询比这个车价格低的全部 ...

  9. WeMall微信商城源码插件代金券部分代码

    WeMall微信商城源码插件Coupon代金券代码是用于商业推广的比较有效的方式,分享了部分比较重要的代码,供技术员学习参考 AdminController.class.php <?php na ...

  10. KoaHub.js -- 基于 Koa.js 平台的 Node.js web 快速开发框架之koahub-skip

    koahub-skip koahub skip middleware koahub skip Conditionally skip a middleware when a condition is m ...