1 c# sql t-sql sql-server c#-4.0
我有一个sqlhelper类,包含一个重载的ExecuteNonQuery:一个只有一个参数(commandText),另一个有两个参数(commandText,SqlParameter []).
假设我有一个没有用户交互的独立控制台应用程序,我将调用一个只更新带有3个参数的表的存储过程,如果我可以轻松地构建字符串,那么使用SqlParameter []有什么好处?只需将其作为commandText发送?
换句话说,为什么要使用以下内容:
SqlParameter[] parameters =
{
new SqlParameter("parm1" SqlDbType.VarChar, 3),
new SqlParameter("parm2", SqlDbType.VarChar, 8),
new SqlParameter("parm3", SqlDbType.VarChar, 2),
new SqlParameter("parm4", SqlDbType.VarChar, 4)
};
parameters[0].Value = p1;
parameters[1].Value = p2;
parameters[2].Value = p3;
parameters[3].Value = p4;
当我可以使用这样的东西时:
strQueryToRun = string.Format("exec updateTable {0}, {1}, {2}, {3}", p1, p2, p3, p4);
这是一个独立的控制台应用程序,因此不可能进行SQL注入.
谢谢.
第一个也是最重要的原因是,您的查询会执行您期望的操作,而不是恶意使其执行的操作.看看有关SQL注入的维基百科文章.
除了减轻(有效消除)SQL注入的风险之外,使用参数还允许SQL Server利用缓存的查询计划.这在您的特定实例(您只是调用存储过程,其计划几乎肯定已经编译和缓存)中不是一个问题,但这是您需要参数化查询的更一般的原因.
另一个原因(正如Ali在另一个答案中指出的那样)是使用该string.Format方法将提供您的参数,无论字符串表示是本机.NET类型.对于数字,这不是问题.对于字符串类型,您必须用单引号括起来并正确转义任何嵌入的引号(以及可能的其他清理例程).使用该参数可让SQL客户端库担心数据如何传递到服务器.
也就是说,我不会像你上面写的那样使用代码.我根本不会构造一个SqlParameters 数组.有多种方法可以将参数添加到SqlCommand(或者DbCommand您正在使用的任何参数),例如,AddWithValue它提供了一个不那么详细的机制,足以满足大多数添加的参数.
即使忽略AddWithValue,我仍然会为每个参数创建单独的变量,并将它们命名为有意义的东西.
var parm1 = new SqlParameter("parm1", SqlDbType.VarChar, 3);
var parm2 = new SqlParameter("parm2", SqlDbType.VarChar, 8);
var parm3 = new SqlParameter("parm3", SqlDbType.VarChar, 2);
var parm4 = new SqlParameter("parm4", SqlDbType.VarChar, 4);
parm1.Value = p1;
parm2.Value = p2;
parm3.Value = p3;
parm4.Value = p4;
(显然,像一个名称parm1或parm2远没有意义,但我会假设你的实际参数名称有更多的含义比你的例子)
| 归档时间: |
|
| 查看次数: |
4031 次 |
| 最近记录: |