最近开始敲了两条线,发现以前对数据库的操作是不安全的,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个SqlParameter的参数。它表示SqlCommand
的参数,也可以是它到 DataSet 列的映射。 此类不能被继承。
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。
-
string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter
SqlConnection conn = new SqlConnection();
conn.ConnectionString = "Data Source=数据库连接部分";//连接字符串与数据库有关
SqlCommand cmd = new SqlCommand(sql, conn);
try
{
conn.Open();
return(cmd.
ExecuteNonQuery());
}
catch (Exception)
{
return -1;
throw;
}
finally
{
conn.Close();
}
上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。
一、Add方法
-
SqlParameter sp = new SqlParameter("@name", "Pudding");
cmd.Parameters.Add(sp);
sp = new SqlParameter("@ID", "1");
cmd.Parameters.Add(sp);
该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。
二、AddRange方法
自己再D层写的对数据库的代码操作
Public Class SqlBasicData : Implements [Interface].IBasicData
Dim strConnStr As String = System.Configuration.ConfigurationSettings.AppSettings("ConnStr")
Dim conn As SqlConnection = New SqlConnection(strConnStr)
''' <summary>
''' 更新基本信息数据到数据库表
''' </summary>
''' <param name="enBasicData">实体生成的对象</param>
''' <returns>Boolean,判断是否写入成功</returns>
''' <remarks></remarks>
Public Function UpdateBasic(ByVal enBasicData As Entity.BasicData) As Boolean Implements [Interface].IBasicData.UpdateBasic
Dim Isbtn As Boolean = False '是否成功标志
Dim i As Integer '定义一个变量
Dim sql As String
'参数集合()
Dim paras As SqlParameter() = {New SqlParameter("@sngRate", enBasicData.B_sngRate),
New SqlParameter("@tempRate", enBasicData.B_tempRate),
New SqlParameter("@intAddTime", enBasicData.B_intAddTime),
New SqlParameter("@leastTime", enBasicData.B_leastTime),
New SqlParameter("@intReadyTime", enBasicData.B_intReadyTime),
New SqlParameter("@sngLeastRecharge", enBasicData.B_sngLeastRecharge),
New SqlParameter("@setDate", enBasicData.B_Date),
New SqlParameter("@setTime", enBasicData.B_setTime),
New SqlParameter("@strAdmin", enBasicData.B_strAdmin)
}
'要执行操作的sql语句
sql = "update T_BasicData_info set sngRate=@sngRate ,tempRate=@tempRate,intAddTime=@intAddTime,leastTime=@leastTime,intReadyTime=@intReadyTime,sngLeastRecharge=@sngLeastRecharge,setDate=@setDate,setTime=@setTime where strAdmin=1 "
'判断写到数据库成功与否的影响的函数
i = SqlHelper.DBHelper.ExecuteNoQuery(sql, CommandType.Text, paras)
If i > 0 Then
Isbtn = True
End If
Return Isbtn
conn.Close()
End Function
从上面的SqlHelper跳转到里面执行
''' <summary>
''' 有参数的非查询的操作
''' </summary>
''' <param name="cmdText">增删改语句或者存储过程</param>
''' <param name="cmdType">命令类型文本或者存储过程</param>
''' <param name="paras">参数数组</param>
''' <returns></returns>
''' <remarks></remarks>
Public Shared Function ExecuteNoQuery(ByVal cmdText As String, ByVal cmdType As CommandType, ByVal paras As SqlParameter()) As Integer
'定义一个连接字符串
Dim strConnStr As String = System.Configuration.ConfigurationManager.AppSettings("ConnStr")
'定义一个数据库连接对象
Dim conn As SqlConnection = New SqlConnection(strConnStr)
Dim cmd As New SqlCommand '定义一个命令对象
Dim res As Integer '定义一个变量用户存放返回结果
cmd = New SqlCommand(cmdText, conn)
cmd.CommandType = cmdType
cmd.Parameters.AddRange(paras)
Try
'打开数据连接
If conn.State = ConnectionState.Closed Then
conn.Open()
End If
'执行查询操作
res = cmd.ExecuteNonQuery()
Catch ex As Exception
MsgBox(ex.Message, , "数据库操作")
Finally
'关闭数据库连接
If conn.State = ConnectionState.Open Then
conn.Close()
End If
End Try
Return res '返回受影响的行数
End Function
分享到:
相关推荐
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
SqlParameter的用法,详细说明。给你帮助
C#中SqlParameter类使用方法小结.doc
本篇文章主要介绍了C#中SqlParameter的作用与用法,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作。
ADO.NET中关于命令参数(SqlParameter)使用的一个完整示例,包中包括数据库,可直接运行使用。
防止SQL注入最常用的方法就是用变量SqlParameter,但是初学者可能会以为很难,其实很简单的,此例子是一个简单应用实现[C#],初学者可以看看
主要介绍了C# 中用 Sqlparameter 的几种用法,文中给大家列举了两种用法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
。。。
SQL中in参数化的用法,用三种方法,详见http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein
今天学习了一下SqlParameter的用法,原来这么写是为了防止sql注入,破坏数据库的。并自己动手连接了数据库。
此方法将返回一个 SqlParameter 对象数组,这些对象已使用缓存(与传递给该方法的连接字符串和命令文本相对应)中的参数的名称、值、方向和数据类型等进行了初始化。 注意: 用作参数集的键的连接字符串通过简单的...
使用方法: 例如: StringBuilder strSql = new StringBuilder(); strSql.Append("Select Memo from AddMessage"); strSql.Append(" Where SendTime = @SendTime"); SqlParameter[] parameters = { new Sql...
此方法将返回一个 SqlParameter 对象数组,这些对象已使用缓存(与传递给该方法的连接字符串和命令文本相对应)中的参数的名称、值、方向和数据类型等进行了初始化。 注意: 用作参数集的键的连接字符串通过简单的...
<br> 第二类、声明(Declaration) <br> 针对SQL Parameter或Parameter Query 的名称与数据类型做声明,如PARAMETERS的声明等等。 <br> 第三类、条件子句(Clause) <br> 在SQL的查询中,利用一些...
//SqlParameter sp = new SqlParameter(“@Name”, str_Name); //SqlParameter sp2 = new SqlParameter(“@Pwd”, str_Pwd); //cmd.Parameters.Add(sp); //cmd.Parameters.Add(sp2); #endregion //简单的...
MSSQL为我们提供了两种动态执行SQL语句的命令,分别是 EXEC 和 SP_EXECUTESQL ,我们先来看一下两种方式的用法。 先建立一个表,并添加一些数据来进行演示: 复制代码 CREATE TABLE t_student( Id INT NOT NULL, ...
new System.Data.SqlClient.SqlParameter("@Original_员工编号", System.Data.SqlDbType.VarChar, 10, System.Data.ParameterDirection.Input, false, ((byte)(0)), ((byte)(0)), "员工编号", System.Data....