网站首页 | 最新手游 | 最新软件 |
网站导航
手机游戏
休闲益智 角色扮演 动作冒险 射击枪战 体育竞速 经营策略 MOBA
手机软件
网络浏览 社交聊天 影音播放 学习教育 生活常用 阅读资讯 效率办公 拍照摄影
技术中心
PHP教程 php框架 前端框架 其他 数据库 运维 系统工具 软件教程 手机系统教程
博客中心
数据库 APP开发 电脑问题 编程语言 网络系统 前端开发 互联网
插件下载
输入 banner图 图片脚本 客服 导航分类 播放器 css3 jQuery脚本 jqueryhtml5
源码下载
企业程序 小说有声 网站源码 第三方软件 新闻资讯 第三方源码
电脑软件
聊天工具 视频软件 音乐软件 游戏娱乐 网络游戏 浏览器 图形图像 安全杀毒
电脑软件
输入法 下载工具 股票网银 办公软件 阅读翻译 压缩刻录 系统工具 编程开发
电脑软件
手机数码 教育学习 网络应用 主题壁纸 其他软件 font字体 存储管理 压缩解压
电脑软件
系统设置 改名软件 文本编辑 拼音输入 降温程序 电子阅读 打印工具 刻录软件
电脑软件
翻译软件 系统优化 网页浏览 广告过滤 网站推广 下载工具 FTP工具 邮件收发
专题合集

热搜:蛋仔派对官服版  大话诛仙bt版  懒人听书正式版  mm131纯净版  美剧鸟破解版  

首页 手机游戏 手机软件 软件下载 jquery插件库 程序下载 手机教程 专题
您的位置:首页 > 博客中心 > 数据库 >

参数化SQL

时间:2022-03-14 01:29

原文:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html

避免SQL注入的方法有两种:
一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

1 select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为: 

1 select * from UserInfo where sex=@sex

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

1 select * from UserInfo where sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码: 

1 2 3 4 5 6 7 8 9 10 11 12 13 //实例化Connection对象 SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=‘‘"); //实例化Command对象 SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection); //第一种添加查询参数的例子 command.Parameters.AddWithValue("@sex", true); //第二种添加查询参数的例子 SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的 parameter.Value = 30; command.Parameters.Add(parameter);//添加参数 //实例化DataAdapter SqlDataAdapter adapter = new SqlDataAdapter(command); DataTable data = new DataTable();

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

数据库 Access MySQL Oracle
 SQL语句 select * from UserInfo 
where sex=? and age>?		 select * from UserInfo 
where sex=?sex and age>?age		 select * from UserInfo 
where sex=:sex and age>:age
参数 OleDbParameter MySqlParameter OracleParameter
实例化参数 OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean); MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit); OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值 p.Value=true; p.Value=1; p.Value=1;

      通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。 
注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

 

Command对象传参效率测试

在.net平台,普通的insert语句有两种写法,不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2),它们的执行效率如何呢?
做了个试验,代码如下:(数据库是oracle)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 public partial class WebForm1 : System.Web.UI.Page     {         protected void Page_Load(object sender, EventArgs e)         {             //test1();             test2();         }         private void test1()         {             OracleConnection con = new OracleConnection();             con.ConnectionString = "Data Source=oracl;User Id=xxx;Password=xxx;Persist Security Info=True;";             System.Random r = new Random((int)System.DateTime.Now.Ticks);             string strCommand = "insert into test(c1,c2) values({0},{1})";             OracleCommand com = new OracleCommand();             com.Connection = con;             con.Open();             DateTime dt = DateTime.Now;             Label1.Text = "不传参:"+DateTime.Now.ToLongTimeString();             for (int i = 0; i < 50000; i++)             {                   com.CommandText = string.Format(strCommand, r.Next(), r.Next());                 com.ExecuteNonQuery();             }             com.CommandText = "truncate table test";             com.ExecuteNonQuery();             con.Close();             Label2.Text = DateTime.Now.ToLongTimeString();         }         private void test2()         {             OracleConnection con = new OracleConnection();               con.ConnectionString = "Data Source=bocodb;User Id=hljyd;Password=hljyd;Persist Security Info=True;";             System.Random r = new Random((int)System.DateTime.Now.Ticks);             string strCommand = "insert into test(c1,c2) values(:c1,:c2)";             OracleCommand com = new OracleCommand();             com.Parameters.Add(":c1", OracleType.Number);             com.Parameters.Add(":c2", OracleType.Number);             com.CommandText = strCommand;             com.Connection = con;             con.Open();             Label1.Text = "传参:"+DateTime.Now.ToLongTimeString();             for (int i = 0; i < 50000; i++)             {                 com.Parameters[":c1"].Value = r.Next();                 com.Parameters[":c2"].Value = r.Next();                                   com.ExecuteNonQuery();             }             com.Parameters.Clear();             com.CommandText = "truncate table test";             com.ExecuteNonQuery();             con.Close();             Label2.Text = DateTime.Now.ToLongTimeString();         }     }



执行结果:
10000记录:
不传参数?5:46:19 15:46:34 15秒
传参数:?5:50:51 15:51:01 10秒

50000记录:
不传参数  16:09:03 16:10:24 81秒
传参数::16:15:43 16:16:36 53秒
这只是2个参数的情况,如果参数很多会不会影响更大呢?

10000记录,7个参数:
不传参数:17:11:01 17:11:18 17秒
传参数:17:13:46 17:13:59 13秒
50000记录:7个参数:
不传参数:17:19:02 17:20:25 1分23秒
传参数:17:15:09 17:16:10 1分1秒

需要相差不大,但是向command对象传递参数既可以避免sql注入问题,也可以提高性能;

相关推荐

电脑软件

热门排行

今日推荐

热门手游