.NET中参数化查询数据库

  一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!

  刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。

using (SqlConnection con =new SqlConnection())
{
  con.ConnectionString
="************************";
  con.Open();
  SqlCommand cmd
=new SqlCommand();
  cmd.Connection
= con;
  
string classId ="S201";
  int age = 15;
  cmd.CommandText
="SELECT * FROM Student WHERE ClassId = '" + classId + "' AND Age >" + age;
  
//省略
}

  后来查询语句条件多了,用+来连接感觉看不过来,而且字符串经常容易遗漏单引号,于是就开始用string.Format了。

  cmd.CommandText =string.Format("SELECT * FROM Student WHERE ClassId = '{0}' AND Age > {1}",classId, age);

  似乎比以前看起来清晰了些,但总觉得写起来麻烦,特别是字段是字符串的,需要加单引号。于是就在cmd后打了个点(VS自动提示成员),想看看SqlCommand究竟有些其它的东西可用没。发现有个Parameters的属性,什么东西?Baidu Google一番,哈哈,终于找到想要的东西了。于是又进一步改进了查询语句。

cmd.CommandText = "SELECT * FROM Student WHERE ClassId = @chassId AND Age > @age";
cmd.Parameters.Add(
"classId", SqlDbType.VarChar);
cmd.Parameters.Add(
"age", SqlDbType.Int);
cmd.Parameters[
"classId"].Value = classId;
cmd.Parameters[
"age"].Value = age;

  找到了好的方法,那就要数落一下坏的了;)。

  第一种和第二种连接字符串形势的查询语句存在注入漏洞,加入classId是从界面读取,如TextBox1.Text,classId = TextBox1.Text, 如果有用户在TextBox1中填入 1' OR '1'='1 ,我们把字符串连接起来看看就得到:

      SELECT * FROM Student WHERE ClassId ='1' OR '1'='1' AND Age >15

  如你所见,原来还可以这么写。如果碰上个“心狠手辣”的,在TextBox1中填入 1';DELETE FROM Student;--,我们再看看连接起来的字符串:

      SELECT * FROM Student WHERE ClassId ='1';DELETE FROM Student;--' AND Age >15 
  后果可想而知。你的产品没上线,你就感谢下这位辣手的“用户”;如果你的产品上线了,那你就想心狠手辣地把谁怎么怎么滴了:)

  第三种写法就是没有被传说的参数化查询,心狠手辣的用户也对之束手无策 :)第三种方法的另外一个好处就是看起来结构很清晰;鄙人后来想往数据库中插图片,都不晓得怎么写语句,后来就用了第三种方式(第一种、第二种没试过插入图片,不晓得行不行)。

  第一次写博客园的帖子,,能和大家一起分享自己的心得,虽然很菜鸟,但是如果有初学者能从中的到启发,或者能得到老鸟点拨一二,岂不快哉!

posted @ 2011-06-24 21:42  One Day  阅读(4101)  评论(1编辑  收藏  举报