教您使用参数化SQL语句

SQL语句的使用非常灵活,通过各种SQL语句,可以实现不同功能的操作,下面将为您介绍参数化SQL语句,供您参考,希望对您有所帮助。

察哈尔右翼后网站制作公司哪家好,找成都创新互联公司!从网页设计、网站建设、微信开发、APP开发、响应式网站设计等网站项目制作,到程序开发,运营维护。成都创新互联公司自2013年创立以来到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选成都创新互联公司

SQL注入的方法有两种:

一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

1select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为: 

1select * from UserInfo where sex=@sex

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

1select * from UserInfo where sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码: 

01//实例化Connection对象 
02SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=''"); 
03//实例化Command对象 
04SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection); 
05//***种添加查询参数的例子 
06command.Parameters.AddWithValue("@sex", true); 
07//第二种添加查询参数的例子 
08SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的 
09parameter.Value = 30; 
10command.Parameters.Add(parameter);//添加参数 
11//实例化DataAdapter 
12SqlDataAdapter adapter = new SqlDataAdapter(command); 
13DataTable data = new DataTable();

#p#

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

数据库AccessMySQLOracle
 SQL语句select * from UserInfo
where sex=? and age>?		select * from UserInfo
where sex=?sex and age>?age		select * from UserInfo
where sex=:sex and age>:age
参数OleDbParameterMySqlParameterOracleParameter
实例化参数OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean);MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit);OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值p.Value=true;p.Value=1;p.Value=1;

通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。
注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

Command对象传参效率测试

在.net平台,普通的insert语句有两种写法,不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2),它们的执行效率如何呢?
做了个试验,代码如下:(数据库是oracle)

01public partial class WebForm1 : System.Web.UI.Page
02    {
03        protected void Page_Load(object sender, EventArgs e)
04        {
05            //test1();
06            test2();
07        }
08        private void test1()
09        {
10            OracleConnection con = new OracleConnection();
11            con.ConnectionString = "Data Source=oracl;User Id=xxx;Password=xxx;Persist Security Info=True;";
12            System.Random r = new Random((int)System.DateTime.Now.Ticks);
13            string strCommand = "insert into test(c1,c2) values({0},{1})";
14            OracleCommand com = new OracleCommand();
15            com.Connection = con;
16            con.Open();
17            DateTime dt = DateTime.Now;
18            Label1.Text = "不传参:"+DateTime.Now.ToLongTimeString();
19            for (int i = 0; i < 50000; i++)
20            {
21  

#p#

22                com.CommandText = string.Format(strCommand, r.Next(), r.Next());
23                com.ExecuteNonQuery();
24            }
25            com.CommandText = "truncate table test";
26            com.ExecuteNonQuery();
27            con.Close();
28            Label2.Text = DateTime.Now.ToLongTimeString();
29        }
30        private void test2()
31        {
32            OracleConnection con = new OracleConnection();
33  
34            con.ConnectionString = "Data Source=bocodb;User Id=hljyd;Password=hljyd;Persist Security Info=True;";
35            System.Random r = new Random((int)System.DateTime.Now.Ticks);
36            string strCommand = "insert into test(c1,c2) values(:c1,:c2)";
37            OracleCommand com = new OracleCommand();
38            com.Parameters.Add(":c1", OracleType.Number);
39            com.Parameters.Add(":c2", OracleType.Number);
40            com.CommandText = strCommand;
41            com.Connection = con;
42            con.Open();
43            Label1.Text = "传参:"+DateTime.Now.ToLongTimeString();
44            for (int i = 0; i < 50000; i++)
45            {
46                com.Parameters[":c1"].Value = r.Next();
47                com.Parameters[":c2"].Value = r.Next();
48                  
49                com.ExecuteNonQuery();
50            }
51            com.Parameters.Clear();
52            com.CommandText = "truncate table test";
53            com.ExecuteNonQuery();
54            con.Close();
55            Label2.Text = DateTime.Now.ToLongTimeString();
56        }
57    }

执行结果:
10000记录:
不传参数?5:46:19 15:46:34 15秒
传参数:??5:50:51 15:51:01 10秒

50000记录:
不传参数  16:09:03 16:10:24 81秒
传参数::16:15:43 16:16:36 53秒
这只是2个参数的情况,如果参数很多会不会影响更大呢?

10000记录,7个参数:
不传参数:17:11:01 17:11:18 17秒
传参数:17:13:46 17:13:59 13秒
50000记录:7个参数:
不传参数:17:19:02 17:20:25 1分23秒
传参数:17:15:09 17:16:10 1分1秒

需要相差不大,但是向command对象传递参数既可以避免sql注入问题,也可以提高性能。

【编辑推荐】

SQL中的分页查询语句介绍

批处理SQL语句的执行效率提高的方法

SQL语句中特殊字符的处理方法

教您用SQL语句进行模糊查询

为您讲解SQL动态语句的语法

网站标题:教您使用参数化SQL语句
网页URL:http://www.mswzjz.cn/qtweb/news44/243894.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能

贝锐智能技术为您推荐以下文章

商城网站知识

行业网站建设

崇州搬家公司    成发金汇    德阳柴油发电机组    成都服务器租用    雕琢时光食品    成都劢可为    门户网站建设方案    商城网站建设公司    教育网站设计方案    主机租用    广汉锦华橡塑    微信公众号二次开发    抖音短视频拍摄    成都网站制作    东电技服    微信公众号开发    网站营销    网站SEO优化    川西大数据中心    鼎尚理发店