参数化SQL

原文:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html

避免SQL注入的方法有两种:
一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:


1

select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为:


1

select * from UserInfo where [email protected]

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:


1

select * from UserInfo where [email protected] and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码:


1

2

3

4

5

6

7

8

9

10

11

12

13

//实例化Connection对象

SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=‘‘");

//实例化Command对象

SqlCommand command = new SqlCommand("select * from UserInfo where [email protected] and age>@age", connection);

//第一种添加查询参数的例子

command.Parameters.AddWithValue("@sex", true);

//第二种添加查询参数的例子

SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的

parameter.Value = 30;

command.Parameters.Add(parameter);//添加参数

//实例化DataAdapter

SqlDataAdapter adapter = new SqlDataAdapter(command);

DataTable data = new DataTable();

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

数据库 Access MySQL Oracle
 SQL语句 select * from UserInfo 
where sex=? and age>?		 select * from UserInfo 
where sex=?sex and age>?age		 select * from UserInfo 
where sex=:sex and age>:age
参数 OleDbParameter MySqlParameter OracleParameter
实例化参数 OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean); MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit); OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值 p.Value=true; p.Value=1; p.Value=1;

通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。 
注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

Command对象传参效率测试

在.net平台,普通的insert语句有两种写法,不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2),它们的执行效率如何呢?
做了个试验,代码如下:(数据库是oracle)


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

public partial class WebForm1 : System.Web.UI.Page

    {

        protected void Page_Load(object sender, EventArgs e)

        {

            //test1();

            test2();

        }

        private void test1()

        {

            OracleConnection con = new OracleConnection();

            con.ConnectionString = "Data Source=oracl;User Id=xxx;Password=xxx;Persist Security Info=True;";

            System.Random r = new Random((int)System.DateTime.Now.Ticks);

            string strCommand = "insert into test(c1,c2) values({0},{1})";

            OracleCommand com = new OracleCommand();

            com.Connection = con;

            con.Open();

            DateTime dt = DateTime.Now;

            Label1.Text = "不传参:"+DateTime.Now.ToLongTimeString();

            for (int i = 0; i < 50000; i++)

            {

                com.CommandText = string.Format(strCommand, r.Next(), r.Next());

                com.ExecuteNonQuery();

            }

            com.CommandText = "truncate table test";

            com.ExecuteNonQuery();

            con.Close();

            Label2.Text = DateTime.Now.ToLongTimeString();

        }

        private void test2()

        {

            OracleConnection con = new OracleConnection();

            con.ConnectionString = "Data Source=bocodb;User Id=hljyd;Password=hljyd;Persist Security Info=True;";

            System.Random r = new Random((int)System.DateTime.Now.Ticks);

            string strCommand = "insert into test(c1,c2) values(:c1,:c2)";

            OracleCommand com = new OracleCommand();

            com.Parameters.Add(":c1", OracleType.Number);

            com.Parameters.Add(":c2", OracleType.Number);

            com.CommandText = strCommand;

            com.Connection = con;

            con.Open();

            Label1.Text = "传参:"+DateTime.Now.ToLongTimeString();

            for (int i = 0; i < 50000; i++)

            {

                com.Parameters[":c1"].Value = r.Next();

                com.Parameters[":c2"].Value = r.Next();

                

                com.ExecuteNonQuery();

            }

            com.Parameters.Clear();

            com.CommandText = "truncate table test";

            com.ExecuteNonQuery();

            con.Close();

            Label2.Text = DateTime.Now.ToLongTimeString();

        }

    }

执行结果:
10000记录:
不传参数?5:46:19 15:46:34 15秒
传参数:?5:50:51 15:51:01 10秒

50000记录:
不传参数  16:09:03 16:10:24 81秒
传参数::16:15:43 16:16:36 53秒
这只是2个参数的情况,如果参数很多会不会影响更大呢?

10000记录,7个参数:
不传参数:17:11:01 17:11:18 17秒
传参数:17:13:46 17:13:59 13秒
50000记录:7个参数:
不传参数:17:19:02 17:20:25 1分23秒
传参数:17:15:09 17:16:10 1分1秒

需要相差不大,但是向command对象传递参数既可以避免sql注入问题,也可以提高性能;

时间: 2024-10-14 06:45:32

参数化SQL的相关文章

SQL Server中参数化SQL写法遇到parameter sniff ,导致不合理执行计划重用的一种解决方案

parameter sniff问题是重用其他参数生成的执行计划,导致当前参数采用该执行计划非最优化的现象.想必熟悉数据的同学都应该知道,产生parameter sniff最典型的问题就是使用了参数化的SQL(或者存储过程中使用了参数化)写法,如果存在数据分布不均匀的情况下,正常情况下生成的执行计划,在传入在分布数据较多的参数的情况下,重用了正常参数生成的执行计划,而这种缓存的执行计划并非适合当前参数的一种情况. 这种情况,在实际业务中,出现的频率还是比较高的,因为存储过程一般都是采用参数化的写法

使用参数化SQL语句进行模糊查找(转载)

使用参数化SQL语句进行模糊查找 今天想用参数化SQL语句进行模糊查找,一开始的使用方法不正确,摸索了好一会. 1.使用参数化SQL语句进行模糊查找的正确方法: //定义sql语句 string sql = "SELECT StudentID,StudentNO,StudentName FROM Student WHERE StudentName like @StudentName"; //给参数赋值 command.Parameters.AddWithValue("@Stu

SQL Server SQL性能优化之--数据库在“简单”参数化模式下,自动参数化SQL带来的问题

数据库参数化的模式 数据库的参数化有两种方式,简单(simple)和强制(forced),默认的参数化默认是“简单”,简单模式下,如果每次发过来的SQL,除非完全一样,否则就重编译它(特殊情况会自动参数化,正是本文想说的重点)强制模式就是将adhoc SQL强制参数化,避免每次运行的时候因为参数值的不同而重编译,这里不详细说明. 这首先要感谢“潇湘隐者”大神的提示, 当时也是遇到一个实际问题, 发现执行计划对数据行的预估,怎么都不对,有观察到无论怎么改变参数,SQL语句执行前都没有重编译,疑惑了

如何用参数化SQL语句污染你的计划缓存

你的SQL语句的参数化总是个好想法.使用参数化SQL语句你不会污染你的计划缓存——错!!!在这篇文章里我想向你展示下用参数化SQL语句就可以污染你的计划缓存,这是非常简单的! ADO.NET-AddWithValue ADO.NET是实现像SQL Server关系数据库数据访问的.NET框架的组成——有一些严重的副作用.不要误解我——只要你正确使用,ADO.NET一直很棒.你马上就会看到,它很容易被错误使用.我们来看下面实现SQL语句执行的C#代码. 1 for (int i = 1; i <=

多层架构(参数化SQL、存储过程)

Java培训.Android培训.iOS培训..Net培训.期待与您交流! 设置参数化SQL的方式: ------语法一 //设置SQL语句中的参数 //定义 SqlParameter parUid = new SqlParameter("@userId", SqlDbType.NVarChar, 50); SqlParameter parPwd = new SqlParameter("@password", SqlDbType.NVarChar, 50); //赋

C# 参数化SQL语句中的like和in

在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的我们一般的思维是: Like 参数:string strSql = "select * from Person.Address where City like '%@add%'";SqlParameter[] Parameters=new SqlParameter[1];Parameters[0] = new SqlParameter("@add", "bre&

ADO.NET复习总结(3)--参数化SQL语句

1.SQL 注入 2.使用参数化的方式,可以有效防止SQL注入,使用类parameter的实现类SqlParameter Command的属性parameters是一个参数集合. 3.举例<查询学生表学生个数> 代码: using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; us

C#参数化SQL查询

//写一个存储过程 ALTER PROCEDURE dbo.Infosearch ( @bmid smallint = null, @xm varchar(10)=null, @xb varchar(10)=null, @strage smallint=null, @endage smallint=null, @zzmm varchar(10)=null, @xl varchar(10)=null, @zw varchar(10)=null ) AS /* SET NOCOUNT ON */ d

Sql Server之旅——第十二站 sqltext的参数化处理

说到sql的参数化处理,我也是醉了,因为sql引擎真的是一个无比强大的系统,我们平时做系统的时候都会加上缓存,我想如果没有缓存,就不会有什么 大网站能跑的起来,而且大公司一般会在一个东西上做的比较用心,比较细,sqlserver同样也使用了缓存,其中就包括Data cache 和Plan cache两个大头. 现在我们也知道了Plan cache包括上一篇生成的xml结构和sql text,更有趣的是,sql text 还可以做到参数化...也就是模板化了.. 一:Sql参数化 <1> 先来做