SqlParameter的用法

fan_rockrock發表於2014-01-25
SQL
[csharp] view plaincopyprint?
  1. 一般來說,在更新DataTable或是DataSet時,如果不採用SqlParameter,那麼當輸入的Sql語句出現歧義時,如字串中含有單引號,程式就會發生錯誤,並且他人可以輕易地通過拼接Sql語句來進行注入攻擊。  
  2.    
  3.   
  4.   
  5. string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未採用SqlParameter  
  6.   
  7. SqlConnection conn = new SqlConnection();  
  8.   
  9. conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";//連線字串與資料庫有關  
  10.   
  11. SqlCommand cmd = new SqlCommand(sql, conn);  
  12.   
  13. try  
  14.   
  15. {  
  16.   
  17.     conn.Open();  
  18.   
  19.     return(cmd.ExecuteNonQuery());  
  20.   
  21. }  
  22.   
  23. catch (Exception)  
  24.   
  25. {  
  26.   
  27.     return -1;  
  28.   
  29.     throw;  
  30.   
  31. }  
  32.   
  33. finally  
  34.   
  35. {  
  36.   
  37.     conn.Close();  
  38.   
  39. }   
  40.   
  41.   
  42. 上述程式碼未採用SqlParameter,除了存在安全性問題,該方法還無法解決二進位制流的更新,如圖片檔案。通過使用SqlParameter可以解決上述問題,常見的使用方法有兩種,Add方法和AddRange方法。  
  43.    
  44. 一、Add方法  
  45.    
  46.   
  47.   
  48. SqlParameter sp = new SqlParameter("@name""Pudding");  
  49.   
  50. cmd.Parameters.Add(sp);  
  51.   
  52. sp = new SqlParameter("@ID""1");  
  53.   
  54. cmd.Parameters.Add(sp);   
  55.   
  56.   
  57.   該方法每次只能新增一個SqlParameter。上述程式碼的功能是將ID值等於1的欄位name更新為Pudding(人名)。  
  58.    
  59. 二、AddRange方法  
  60.    
  61.   
  62.   
  63. SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name""Pudding"), new SqlParameter("@ID""1") };  
  64.   
  65. cmd.Parameters.AddRange(paras);   
  66.   
  67.   
  68.   顯然,Add方法在新增多個SqlParameter時不方便,此時,可以採用AddRange方法。  
  69.    
  70.   下面是通過SqlParameter向資料庫儲存及讀取圖片的程式碼。  
  71.    
  72.   
  73.   
  74. public int SavePhoto(string photourl)  
  75.   
  76. {  
  77.   
  78.     FileStream fs = new FileStream(photourl, FileMode.Open, FileAccess.Read);//建立FileStream物件,用於向BinaryReader寫入位元組資料流  
  79.   
  80.     BinaryReader br = new BinaryReader(fs);//建立BinaryReader物件,用於寫入下面的byte陣列  
  81.   
  82.     byte[] photo = br.ReadBytes((int)fs.Length); //新建byte陣列,寫入br中的資料  
  83.   
  84.     br.Close();//記得要關閉br  
  85.   
  86.     fs.Close();//還有fs  
  87.   
  88.     string sql = "update Table1 set photo = @photo where ID = '0'";  
  89.   
  90.     SqlConnection conn = new SqlConnection();  
  91.   
  92.     conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";  
  93.   
  94.     SqlCommand cmd = new SqlCommand(sql, conn);  
  95.   
  96.     SqlParameter sp = new SqlParameter("@photo", photo);  
  97.   
  98.     cmd.Parameters.Add(sp);  
  99.   
  100.     try  
  101.   
  102.     {  
  103.   
  104.         conn.Open();  
  105.   
  106.         return (cmd.ExecuteNonQuery());  
  107.   
  108.     }  
  109.   
  110.     catch (Exception)  
  111.   
  112.     {  
  113.   
  114.         return -1;  
  115.   
  116.         throw;  
  117.   
  118.     }  
  119.   
  120.     finally  
  121.   
  122.     {  
  123.   
  124.         conn.Close();  
  125.   
  126.     }  
  127.   
  128. }  
  129.   
  130.    
  131.   
  132. public void ReadPhoto(string url)  
  133.   
  134.     {  
  135.   
  136.         string sql = "select photo from Table1 where ID = '0'";  
  137.   
  138.         SqlConnection conn = new SqlConnection();  
  139.   
  140.         conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";  
  141.   
  142.         SqlCommand cmd = new SqlCommand(sql, conn);  
  143.   
  144.         try  
  145.   
  146.         {  
  147.   
  148.             conn.Open();  
  149.   
  150.             SqlDataReader reader = cmd.ExecuteReader();//採用SqlDataReader的方法來讀取資料  
  151.   
  152.             if (reader.Read())  
  153.   
  154.             {  
  155.   
  156.                 byte[] photo = reader[0] as byte[];//將第0列的資料寫入byte陣列  
  157.   
  158.                 FileStream fs = new FileStream(url,FileMode.CreateNew);建立FileStream物件,用於寫入位元組資料流  
  159.   
  160.                 fs.Write(photo,0,photo.Length);//將byte陣列中的資料寫入fs  
  161.   
  162.                 fs.Close();//關閉fs  
  163.   
  164.             }  
  165.   
  166.             reader.Close();//關閉reader  
  167.   
  168.         }  
  169.   
  170.         catch (Exception ex)  
  171.   
  172.         {  
  173.   
  174.             throw;  
  175.   
  176.         }  
  177.   
  178.         finally  
  179.   
  180.         {  
  181.   
  182.             conn.Close();  
  183.   
  184.         }  
  185.   
  186.     }  
  187.   
  188. }  
一般來說,在更新DataTable或是DataSet時,如果不採用SqlParameter,那麼當輸入的Sql語句出現歧義時,如字串中含有單引號,程式就會發生錯誤,並且他人可以輕易地通過拼接Sql語句來進行注入攻擊。
 


string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未採用SqlParameter

SqlConnection conn = new SqlConnection();

conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";//連線字串與資料庫有關

SqlCommand cmd = new SqlCommand(sql, conn);

try

{

    conn.Open();

    return(cmd.ExecuteNonQuery());

}

catch (Exception)

{

    return -1;

    throw;

}

finally

{

    conn.Close();

} 


上述程式碼未採用SqlParameter,除了存在安全性問題,該方法還無法解決二進位制流的更新,如圖片檔案。通過使用SqlParameter可以解決上述問題,常見的使用方法有兩種,Add方法和AddRange方法。
 
一、Add方法
 


SqlParameter sp = new SqlParameter("@name", "Pudding");

cmd.Parameters.Add(sp);

sp = new SqlParameter("@ID", "1");

cmd.Parameters.Add(sp); 


  該方法每次只能新增一個SqlParameter。上述程式碼的功能是將ID值等於1的欄位name更新為Pudding(人名)。
 
二、AddRange方法
 


SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name", "Pudding"), new SqlParameter("@ID", "1") };

cmd.Parameters.AddRange(paras); 


  顯然,Add方法在新增多個SqlParameter時不方便,此時,可以採用AddRange方法。
 
  下面是通過SqlParameter向資料庫儲存及讀取圖片的程式碼。
 


public int SavePhoto(string photourl)

{

    FileStream fs = new FileStream(photourl, FileMode.Open, FileAccess.Read);//建立FileStream物件,用於向BinaryReader寫入位元組資料流

    BinaryReader br = new BinaryReader(fs);//建立BinaryReader物件,用於寫入下面的byte陣列

    byte[] photo = br.ReadBytes((int)fs.Length); //新建byte陣列,寫入br中的資料

    br.Close();//記得要關閉br

    fs.Close();//還有fs

    string sql = "update Table1 set photo = @photo where ID = '0'";

    SqlConnection conn = new SqlConnection();

    conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";

    SqlCommand cmd = new SqlCommand(sql, conn);

    SqlParameter sp = new SqlParameter("@photo", photo);

    cmd.Parameters.Add(sp);

    try

    {

        conn.Open();

        return (cmd.ExecuteNonQuery());

    }

    catch (Exception)

    {

        return -1;

        throw;

    }

    finally

    {

        conn.Close();

    }

}

 

public void ReadPhoto(string url)

    {

        string sql = "select photo from Table1 where ID = '0'";

        SqlConnection conn = new SqlConnection();

        conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";

        SqlCommand cmd = new SqlCommand(sql, conn);

        try

        {

            conn.Open();

            SqlDataReader reader = cmd.ExecuteReader();//採用SqlDataReader的方法來讀取資料

            if (reader.Read())

            {

                byte[] photo = reader[0] as byte[];//將第0列的資料寫入byte陣列

                FileStream fs = new FileStream(url,FileMode.CreateNew);建立FileStream物件,用於寫入位元組資料流

                fs.Write(photo,0,photo.Length);//將byte陣列中的資料寫入fs

                fs.Close();//關閉fs

            }

            reader.Close();//關閉reader

        }

        catch (Exception ex)

        {

            throw;

        }

        finally

        {

            conn.Close();

        }

    }

}

 技術交流群:29609188

相關文章