C#中SqlParameter的作用与用法-阿里云开发者社区

C#中SqlParameter的作用与用法

2016-11-25 1672

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 　一般来说，在更新DataTable或是DataSet时，如果不采用SqlParameter，那么当输入的Sql语句出现歧义时，如字符串中含有单引号，程序就会发生错误，并且他人可以轻易地通过拼接Sql语句来进行注入攻击。

　一般来说，在更新DataTable或是DataSet时，如果不采用SqlParameter，那么当输入的Sql语句出现歧义时，如字符串中含有单引号，程序就会发生错误，并且他人可以轻易地通过拼接Sql语句来进行注入攻击。

 
           string 
           sql = 
           "update Table1 set name = 'Pudding' where ID = '1'"
           ;
           //未采用SqlParameter 
          
           SqlConnection conn = 
           new 
           SqlConnection(); 
          
           conn.ConnectionString = 
           "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true"
           ;
           //连接字符串与数据库有关 
          
           SqlCommand cmd = 
           new 
           SqlCommand(sql, conn); 
          
           try 
          
           { 
          
           conn.Open(); 
          
           return
           (cmd.ExecuteNonQuery()); 
          
           } 
          
           catch 
           (Exception) 
          
           { 
          
           return 
           -1; 
          
           throw
           ; 
          
           } 
          
           finally 
          
           { 
          
           conn.Close(); 
          
           }

上述代码未采用SqlParameter，除了存在安全性问题，该方法还无法解决二进制流的更新，如图片文件。通过使用SqlParameter可以解决上述问题，常见的使用方法有两种，Add方法和AddRange方法。

一、Add方法

 
           SqlParameter sp = 
           new 
           SqlParameter(
           "@name"
           ,
           "Pudding"
           ); 
          
 
           cmd.Parameters.Add(sp); 
          
 
           sp = 
           new 
           SqlParameter(
           "@ID"
           ,
           "1"
           ); 
          
 
           cmd.Parameters.Add(sp); 
          

　　该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。

二、AddRange方法

1 2	`SqlParameter[] paras =` `new` `SqlParameter[] {` `new` `SqlParameter(` `"@name"` `,` `"Pudding"` `),` `new` `SqlParameter(` `"@ID"` `,` `"1"` `) };` `cmd.Parameters.AddRange(paras);`

　　显然，Add方法在添加多个SqlParameter时不方便，此时，可以采用AddRange方法。

　　下面是通过SqlParameter向数据库存储及读取图片的代码。

 
           public 
           int 
           SavePhoto(
           string 
           photourl) 
          
           { 
          
           FileStream fs = 
           new 
           FileStream(photourl, FileMode.Open, FileAccess.Read);
           //创建FileStream对象，用于向BinaryReader写入字节数据流 
          
           BinaryReader br = 
           new 
           BinaryReader(fs);
           //创建BinaryReader对象，用于写入下面的byte数组 
          
           byte
           [] photo = br.ReadBytes((
           int
           )fs.Length);
           //新建byte数组，写入br中的数据 
          
           br.Close();
           //记得要关闭br 
          
           fs.Close();
           //还有fs 
          
           string 
           sql = 
           "update Table1 set photo = @photo where ID = '0'"
           ; 
          
           SqlConnection conn = 
           new 
           SqlConnection(); 
          
           conn.ConnectionString = 
           "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true"
           ; 
          
           SqlCommand cmd = 
           new 
           SqlCommand(sql, conn); 
          
           SqlParameter sp = 
           new 
           SqlParameter(
           "@photo"
           , photo); 
          
           cmd.Parameters.Add(sp); 
          
           try 
          
           { 
          
           conn.Open(); 
          
           return 
           (cmd.ExecuteNonQuery()); 
          
           } 
          
           catch 
           (Exception) 
          
           { 
          
           return 
           -1; 
          
           throw
           ; 
          
           } 
          
           finally 
          
           { 
          
           conn.Close(); 
          
           } 
          
           } 
          
           public 
           void 
           ReadPhoto(
           string 
           url) 
          
           { 
          
           string 
           sql = 
           "select photo from Table1 where ID = '0'"
           ; 
          
           SqlConnection conn = 
           new 
           SqlConnection(); 
          
           conn.ConnectionString = 
           "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true"
           ; 
          
           SqlCommand cmd = 
           new 
           SqlCommand(sql, conn); 
          
           try 
          
           { 
          
           conn.Open(); 
          
           SqlDataReader reader = cmd.ExecuteReader();
           //采用SqlDataReader的方法来读取数据 
          
           if 
           (reader.Read()) 
          
           { 
          
           byte
           [] photo = reader[0] 
           as 
           byte
           [];
           //将第0列的数据写入byte数组 
          
           FileStream fs = 
           new 
           FileStream(url,FileMode.CreateNew);创建FileStream对象，用于写入字节数据流 
          
           fs.Write(photo,0,photo.Length);
           //将byte数组中的数据写入fs 
          
           fs.Close();
           //关闭fs 
          
           } 
          
           reader.Close();
           //关闭reader 
          
           } 
          
           catch 
           (Exception ex) 
          
           { 
          
           throw
           ; 
          
           } 
          
           finally 
          
           { 
          
           conn.Close(); 
          
           }
               
           }
           }

C#中SqlParameter的作用与用法

热门文章

最新文章

相关课程

相关电子书

相关实验场景

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

C#中SqlParameter的作用与用法

热门文章

最新文章

相关课程

相关电子书

相关实验场景