2. 程式人生 > >SqlParameter引數化查詢

SqlParameter引數化查詢

阿新 發佈:2019-02-02

     上篇部落格寫了關於重構程式碼用到的SQLHelper類,這個類包括四種函式,根據是否含參和是否有返回值各分兩種。在這裡寫寫傳參過程用到的SqlParameter

     如果我們使用如下拼接sql字串的方式進行資料庫操作存在指令碼注入的危險:

        Dim sql As String = "insert into T_Loginlog(userID,loginDate,loginTime,computer)values('" + Enloginlog.user_userID + "','" & Enloginlog.user_loginDate & "','" & Enloginlog.user_loginTime & "','" & Enloginlog.user_computer & "')"

為了防止SQL注入,我們採用引數化查詢的方式。執行帶引數的sql增刪改語句或儲存過程的函式如下:

 ''' <summary>
    ''' 執行帶引數的sql增刪改語句或儲存過程
    ''' </summary>
    ''' <param name="cmdtext">增刪改語句或儲存過程</param>
    ''' <param name="cmdtype">命令型別文字或儲存過程</param>
    ''' <param name="paras">引數陣列</param>
    ''' <returns>受影響的行數</returns>
    ''' <remarks></remarks>
    Public Function ExecuteNonQueryCan(ByVal cmdtext As String, ByVal cmdtype As CommandType, ByVal paras As SqlParameter()) As Integer
        Dim conn = GetConn()
        Dim cmd As SqlCommand = New SqlCommand(cmdtext, conn)
        Dim res As Integer
        cmd.CommandType = cmdtype
        cmd.Parameters.AddRange(paras)
        Try
            res = cmd.ExecuteNonQuery()
        Catch ex As Exception
            MsgBox(ex.Message, , "資料庫操作")
        Finally
            If conn.State = ConnectionState.Open Then
                conn.Close()
            End If
        End Try
        Return res

    End Function

    在這裡定義了cmdtext(以sql語句為例)、cmdtypeparas,在DAL層呼叫sqlhelper時,只需傳入相應的引數即可。其中,paras引數部分構成如下:

 ''' <summary>
    ''' 定義一個函式在使用者輸入使用者名稱密碼正確並登入時將登入資訊記錄到T_Login正在值班教師表中
    ''' </summary>
    ''' <param name="Enlogin">T_Login表所對應的實體</param>
    ''' <returns></returns>
    ''' <remarks></remarks>
    Public Function InsertIntoTLogin(ByVal Enlogin As Entity.EnLogin) As Boolean

        Enlogin.user_computer = System.Environment.MachineName
        Enlogin.user_loginDate = DateString
        Enlogin.user_loginTime = TimeOfDay

        Dim sql As String = "insert into T_Login(userID,loginDate,loginTime,computer)values(@userID,@loginDate,@loginTime,@computer)"
        Dim paras As SqlParameter() = {New SqlParameter("@userID", Enlogin.user_userID),
                                       New SqlParameter("@loginDate", Enlogin.user_loginDate),
                                       New SqlParameter("@loginTime", Enlogin.user_loginTime),
                                       New SqlParameter("@computer", Enlogin.user_computer)}

        Dim sh As SQLHelper = New SQLHelper
        If sh.ExecuteNonQueryCan(sql, CommandType.Text, paras) > 0 Then
            Return True
        Else
            Return False
        End If

    End Function

   說到底還是封裝的思想,我們將可能輸入有誤的地方以引數的形式固定下來,通過傳參很好的解決了這個問題。

相關推薦

SqlParameter引數查詢

     上篇部落格寫了關於重構程式碼用到的SQLHelper類,這個類包括四種函式,根據是否含參和是否有返回值各分兩種。在這裡寫寫傳參過程用到的SqlParameter。      如果我們使用如下

Text資料型別,引數查詢但未提供該引數(將null插入資料庫)

當你是使用引數化查詢時為引數賦時,比如command.Parameters.Add(@a,SqlDbType.Text,30).Value=a;當a=null是將報錯: 錯引數化查詢 '(@a varchar(100)....' 需要引數 '@a',但未提供該引數 只是因為你給a的為null,

Linq TO Entity Or Linq TO EF 中的where引數查詢

using System; using System.Linq.Expressions; namespace Utils { /// <summary> /// 統一ParameterExpression /// </summary>

.NET應用架構設計—面向查詢服務的引數查詢設計(分解業務點,單獨配置各自的資料查詢契約)

閱讀目錄: 1.背景介紹 2.對業務功能點進行邏輯劃分(如:A、B、C分別三個業務點) 2.1.配置對映關係,對業務點配置查詢契約(構造VS外掛方便生成查詢契約) 2.2.將配置好的對映策略檔案放在呼叫端,與服務不耦合 3.Dynamic、Dom動態構造服務端物件(Dynamic、D

PHP中使用引數查詢

PHP 中提供了三種訪問 MySQL 資料庫的擴充套件,即 mysql,mysqli 和 PDO。它們的區別可以比較如下: 擴充套件 mysql mysqli PDO PHP 版本 2.0+ 5.0+ 5.1+ 生命週期 廢棄 活躍 活躍 面向物件語法 否 是 是 過程式語

【Jmeter】——sql引數查詢測試

前言   現在大家寫的sql語句基本都是引數化的   當然在jmeter中也是可以測試引數化的sql語句   但是我始終都是有些疑問   不知道為什麼要測引數化的,我感覺沒什麼區別呢   

sql引數查詢

//在ASP.NET程式中使用引數化查詢 //ASP.NET環境下的查詢化查詢也是通過Connection物件和Command物件完成。如果資料庫是SQL Server,就可以用有名字的引數了,格式是“@”字元加上引數名。 SqlConnection conn = new SqlCon

使用Dapper進行引數查詢

在使用Dapper操作Mysql資料庫中我介紹了使用dapper進行CURD基本操作,但在示例程式碼中引數雖然也是通過@開頭,但其實不是真正意義的引數化查詢,而是拼接sql,這種方式不利於防止sql注入,所以在Dappe中可以使用DynamicParameters動態引數

淺析Sql Server引數查詢

錯誤認識1.不需要防止sql注入的地方無需引數化   引數化查詢就是為了防止SQL注入用的,其它還有什麼用途不知道、也不關心,原則上是能不用引數就不用引數,為啥?多麻煩,我只是做公司內部系統不用擔心SQL注入風險,使用引數化查詢不是給自己找麻煩,簡簡單單拼SQL,萬事OK 錯誤認識2.引數化查詢時是否指定

PDO引數查詢

引數化查詢(Parameterized Query或Parameterized Statement)是指在設計與資料庫連結並訪問資料時,在需要填入數值或資料的地方,使用引數(Parameter)來給值,這個方法目前已被視為最有效可預防SQL注入攻擊的攻擊手法的防禦方式。

ASP.NET中引數查詢

一、引數化查詢原理 在使用引數化查詢的情況下,資料庫伺服器不會將引數的內容視為SQL指令的一部份來處理,而是在資料庫完成 SQL指令的編譯後,才套用引數執行,因此就算引數中含有惡意的指令,由於已經編譯完成,就不會被資料庫所執行。 有部份的開發人員可能會認為使用引數化查詢,

VBA中使用ADO,引數查詢出現 Automation error

最近初次嘗試在VBA中使用ADO物件進行引數化查詢,一直出現Automation error,網上總是找不到對應的解決辦法,經過反覆嘗試,終於搞清楚了。 假設cmd是ADODB.command 物件,其設定過程省略,要點集中在CommandText屬性和Parameters

引數查詢的理解

一般防護sql 都會出現pdo ,之前也一直不太清楚為什麼pdo 能防護sql 注入漏洞,下邊這篇部落格說的很好,主要是先用引數代替,等到編譯完成把引數帶入,就不會出現sql 編譯解析的問題了。        機房重構敲組合查詢時,會遇到多個操作符(+、-

Hibernate HQL引數查詢,動態

Hibernate中對動態查詢引數繫結提供了豐富的支援,那麼什麼是查詢引數動態繫結呢?其實如果我們熟悉傳統JDBC程式設計的話,我們就不難理解查詢引數動態繫結,如下程式碼傳統JDBC的引數繫結:   PrepareStatement pre=connection.prepa

引數查詢為什麼能夠防止SQL注入

轉自:http://www.cnblogs.com/LoveJenny/archive/2013/01/15/2860553.html  很多人都知道SQL注入,也知道SQL引數化查詢可以防止SQL注入,可為什麼能防止注入卻並不是很多人都知道的。 本文主要講述的是這個問題,也許你在部分文章中看到過這塊內容,

NHibernate查詢語言(HQL)引數查詢

http://www.cnblogs.com/lyj/archive/2008/10/15/1312089.html NHibernate中的查詢方法 在NHibernate中提供了很多查詢方式給我們選擇,這裡僅僅列舉了3種方式:NHibernate查詢語言(HQL,

wireshark抓包分析mybatis的sql引數查詢

  我們使用jdbc操作資料庫的時候,都習慣性地使用引數化的sql與資料庫互動。因為引數化的sql有兩大有點,其一,防止sql注入;其二,提高sql的執行效能(同一個connection共用一個的sql編譯結果)。下面我們就通過mybatis來分析一下引數化sql的過程,以及和非引數化sql的不同。   注意

使用sqlhelper類查詢時假如不需要引數,那到時SqlParameter這個傳參怎麼處理

我在學寫SqlHelper類。用SqlParameter【】陣列做為引數。 我按條件查詢時,可以弄個引數化 但是查詢時假如並不需要引數化,那到時SqlParameter這個傳參怎麼處理 比如 查詢語句是 “select*from Student”,並不需要寫@id這種命令引數了。  但我定義的函式 Exe

常用SQL語句引數+顯示查詢結果

常用SQL語句引數化集合: 在不同的SQL語句中使用引數化的方式不盡相同,但一般都是用佔位符,然後用command物件新增引數如來實現,現在把常用的引數化方法列表如下: 1.select語句的引數化:

java連結資料庫使用prepareStatement引數模糊查詢的兩種方法

String expr = "select *from table where url like?"; pstmt =con.prepareStatement(expr); String a="a"; pstmt.set