我有一个sqlhelper类,其中包含一个重载的ExecuteNonQuery:一个仅包含一个参数(commandText),另一个仅包含两个参数(commandText,SqlParameter [])。
假设我有一个没有用户交互的独立控制台应用程序,并且我将调用一个存储过程,该存储过程将仅使用3个参数更新一个表,如果我可以轻松地构建字符串并使用SqlParameter[],有什么好处?只是将其作为commandText发送?
换句话说,为什么要使用以下内容:
SqlParameter[] parameters = { new SqlParameter("parm1" SqlDbType.VarChar, 3), new SqlParameter("parm2", SqlDbType.VarChar, 8), new SqlParameter("parm3", SqlDbType.VarChar, 2), new SqlParameter("parm4", SqlDbType.VarChar, 4) }; parameters[0].Value = p1; parameters[1].Value = p2; parameters[2].Value = p3; parameters[3].Value = p4;
当我可以使用这样的东西时:
strQueryToRun = string.Format("exec updateTable {0}, {1}, {2}, {3}", p1, p2, p3, p4);
这是一个独立的控制台应用程序,因此不可能进行sql注入。
谢谢。
第一个也是绝对最重要的原因是,您的查询可以执行您 期望的操作 ,而不是 恶意地使它 执行的操作。看一下有关SQL注入的Wikipedia文章。
除了减轻(有效消除)SQL注入的风险外,使用参数还允许SQL Server利用缓存的查询计划。在您的特定实例(您只是在调用存储过程,几乎肯定已经编译并缓存了其计划)的特定实例中,这不是问题,但这是您需要参数化查询的更一般的原因。
另一个原因(如Ali在另一个答案中指出的那样)是,string.Format无论本机.NET类型的字符串表示形式如何,使用该方法都将为您提供参数。对于数字,这不是问题。对于字符串类型,您将必须用单引号引起来,并正确地转义任何嵌入的引号(以及可能的其他清除例程)。使用该参数可使SQL客户端库担心如何将数据传递到服务器。
string.Format
就是说,我不会使用您上面编写的代码。我根本不会构造SqlParameters的数组。有多种方法可以将参数添加到SqlCommand(或DbCommand正在使用的任何内容)中,例如AddWithValue,提供了一种较简单的机制,足以满足大多数要添加的参数的需要。
SqlParameter
SqlCommand
DbCommand
AddWithValue
即使忽略AddWithValue,我仍然会为每个参数创建单独的变量,并将其命名为有意义的名称。
var parm1 = new SqlParameter("parm1", SqlDbType.VarChar, 3); var parm2 = new SqlParameter("parm2", SqlDbType.VarChar, 8); var parm3 = new SqlParameter("parm3", SqlDbType.VarChar, 2); var parm4 = new SqlParameter("parm4", SqlDbType.VarChar, 4); parm1.Value = p1; parm2.Value = p2; parm3.Value = p3; parm4.Value = p4;
(显然,类似parm1或的名称parm2没有意义,但我认为 实际的 参数名称比示例更有意义)
parm1
parm2
