SqlParameter的作用与用法
最近开始敲了两条线,发现以前对数据库的操作是不安全的,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个SqlParameter的参数。它表示SqlCommand 的参数,也可以是它到 DataSet 列的映射。 此类不能被继承。
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。
-
string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter SqlConnection conn = new SqlConnection(); conn.ConnectionString = "Data Source=数据库连接部分";//连接字符串与数据库有关 SqlCommand cmd = new SqlCommand(sql, conn); try { conn.Open(); return(cmd. ExecuteNonQuery()); } catch (Exception) { return -1; throw; } finally { conn.Close(); }
上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。
一、Add方法
-
SqlParameter sp = new SqlParameter("@name", "Pudding"); cmd.Parameters.Add(sp); sp = new SqlParameter("@ID", "1"); cmd.Parameters.Add(sp);
该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。
二、AddRange方法
自己再D层写的对数据库的代码操作
Public Class SqlBasicData : Implements [Interface].IBasicData
Dim strConnStr As String = System.Configuration.ConfigurationSettings.AppSettings("ConnStr")
Dim conn As SqlConnection = New SqlConnection(strConnStr)
''' <summary>
''' 更新基本信息数据到数据库表
''' </summary>
''' <param name="enBasicData">实体生成的对象</param>
''' <returns>Boolean,判断是否写入成功</returns>
''' <remarks></remarks>
Public Function UpdateBasic(ByVal enBasicData As Entity.BasicData) As Boolean Implements [Interface].IBasicData.UpdateBasic
Dim Isbtn As Boolean = False '是否成功标志
Dim i As Integer '定义一个变量
Dim sql As String
'参数集合()
Dim paras As SqlParameter() = {New SqlParameter("@sngRate", enBasicData.B_sngRate),
New SqlParameter("@tempRate", enBasicData.B_tempRate),
New SqlParameter("@intAddTime", enBasicData.B_intAddTime),
New SqlParameter("@leastTime", enBasicData.B_leastTime),
New SqlParameter("@intReadyTime", enBasicData.B_intReadyTime),
New SqlParameter("@sngLeastRecharge", enBasicData.B_sngLeastRecharge),
New SqlParameter("@setDate", enBasicData.B_Date),
New SqlParameter("@setTime", enBasicData.B_setTime),
New SqlParameter("@strAdmin", enBasicData.B_strAdmin)
}
'要执行操作的sql语句
sql = "update T_BasicData_info set sngRate=@sngRate ,tempRate=@tempRate,intAddTime=@intAddTime,leastTime=@leastTime,intReadyTime=@intReadyTime,sngLeastRecharge=@sngLeastRecharge,setDate=@setDate,setTime=@setTime where strAdmin=1 "
'判断写到数据库成功与否的影响的函数
i = SqlHelper.DBHelper.ExecuteNoQuery(sql, CommandType.Text, paras)
If i > 0 Then
Isbtn = True
End If
Return Isbtn
conn.Close()
End Function
从上面的SqlHelper跳转到里面执行
''' <summary>
''' 有参数的非查询的操作
''' </summary>
''' <param name="cmdText">增删改语句或者存储过程</param>
''' <param name="cmdType">命令类型文本或者存储过程</param>
''' <param name="paras">参数数组</param>
''' <returns></returns>
''' <remarks></remarks>
Public Shared Function ExecuteNoQuery(ByVal cmdText As String, ByVal cmdType As CommandType, ByVal paras As SqlParameter()) As Integer
'定义一个连接字符串
Dim strConnStr As String = System.Configuration.ConfigurationManager.AppSettings("ConnStr")
'定义一个数据库连接对象
Dim conn As SqlConnection = New SqlConnection(strConnStr)
Dim cmd As New SqlCommand '定义一个命令对象
Dim res As Integer '定义一个变量用户存放返回结果
cmd = New SqlCommand(cmdText, conn)
cmd.CommandType = cmdType
cmd.Parameters.AddRange(paras)
Try
'打开数据连接
If conn.State = ConnectionState.Closed Then
conn.Open()
End If
'执行查询操作
res = cmd.ExecuteNonQuery()
Catch ex As Exception
MsgBox(ex.Message, , "数据库操作")
Finally
'关闭数据库连接
If conn.State = ConnectionState.Open Then
conn.Close()
End If
End Try
Return res '返回受影响的行数
End Function