zoukankan      html  css  js  c++  java

  • 参数化SQL

    原文:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html

    避免SQL注入的方法有两种:
    一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

    1
    select * from UserInfo where sex=0

    在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为: 

    1
    select * from UserInfo where sex=@sex

    再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

    1
    select * from UserInfo where sex=@sex and age>@age

    下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码: 

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    //实例化Connection对象
    SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=''");
    //实例化Command对象
    SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection);
    //第一种添加查询参数的例子
    command.Parameters.AddWithValue("@sex", true);
    //第二种添加查询参数的例子
    SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的
    parameter.Value = 30;
    command.Parameters.Add(parameter);//添加参数
    //实例化DataAdapter
    SqlDataAdapter adapter = new SqlDataAdapter(command);
    DataTable data = new DataTable();

    上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

    数据库 Access MySQL Oracle
     SQL语句 select * from UserInfo 
    where sex=? and age>?    		 select * from UserInfo 
    where sex=?sex and age>?age    		 select * from UserInfo 
    where sex=:sex and age>:age
    参数 OleDbParameter MySqlParameter OracleParameter
    实例化参数 OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean); MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit); OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
    赋值 p.Value=true; p.Value=1; p.Value=1;

          通过上面的实例代码我们可以看出尽管SQL语句大体相似,但是在不同数据库的特点,可能参数化SQL语句不同,例如在Access中参数化SQL语句是在参数直接以“?”作为参数名,在SQL Server中是参数有“@”前缀,在MySQL中是参数有“?”前缀,在Oracle中参数以“:”为前缀。 
    注意:因为在Access中参数名都是“?”,所以给参数赋值一定要按照列顺序赋值,否则就有可能执行出错。

    Command对象传参效率测试

    在.net平台,普通的insert语句有两种写法,不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2),它们的执行效率如何呢?
    做了个试验,代码如下:(数据库是oracle)

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    public partial class WebForm1 : System.Web.UI.Page
        {
            protected void Page_Load(object sender, EventArgs e)
            {
                //test1();
                test2();
            }
            private void test1()
            {
                OracleConnection con = new OracleConnection();
                con.ConnectionString = "Data Source=oracl;User Id=xxx;Password=xxx;Persist Security Info=True;";
                System.Random r = new Random((int)System.DateTime.Now.Ticks);
                string strCommand = "insert into test(c1,c2) values({0},{1})";
                OracleCommand com = new OracleCommand();
                com.Connection = con;
                con.Open();
                DateTime dt = DateTime.Now;
                Label1.Text = "不传参:"+DateTime.Now.ToLongTimeString();
                for (int i = 0; i < 50000; i++)
                {
     
                    com.CommandText = string.Format(strCommand, r.Next(), r.Next());
                    com.ExecuteNonQuery();
                }
                com.CommandText = "truncate table test";
                com.ExecuteNonQuery();
                con.Close();
                Label2.Text = DateTime.Now.ToLongTimeString();
            }
            private void test2()
            {
                OracleConnection con = new OracleConnection();
     
                con.ConnectionString = "Data Source=bocodb;User Id=hljyd;Password=hljyd;Persist Security Info=True;";
                System.Random r = new Random((int)System.DateTime.Now.Ticks);
                string strCommand = "insert into test(c1,c2) values(:c1,:c2)";
                OracleCommand com = new OracleCommand();
                com.Parameters.Add(":c1", OracleType.Number);
                com.Parameters.Add(":c2", OracleType.Number);
                com.CommandText = strCommand;
                com.Connection = con;
                con.Open();
                Label1.Text = "传参:"+DateTime.Now.ToLongTimeString();
                for (int i = 0; i < 50000; i++)
                {
                    com.Parameters[":c1"].Value = r.Next();
                    com.Parameters[":c2"].Value = r.Next();
                     
                    com.ExecuteNonQuery();
                }
                com.Parameters.Clear();
                com.CommandText = "truncate table test";
                com.ExecuteNonQuery();
                con.Close();
                Label2.Text = DateTime.Now.ToLongTimeString();
            }
        }



    执行结果:
    10000记录:
    不传参数?5:46:19 15:46:34 15秒
    传参数:�?5:50:51 15:51:01 10秒

    50000记录:
    不传参数  16:09:03 16:10:24 81秒
    传参数::16:15:43 16:16:36 53秒
    这只是2个参数的情况,如果参数很多会不会影响更大呢?

    10000记录,7个参数:
    不传参数:17:11:01 17:11:18 17秒
    传参数:17:13:46 17:13:59 13秒
    50000记录:7个参数:
    不传参数:17:19:02 17:20:25 1分23秒
    传参数:17:15:09 17:16:10 1分1秒

    需要相差不大,但是向command对象传递参数既可以避免sql注入问题,也可以提高性能;
  • 相关阅读:
    从B树、B+树、B*树谈到R 树
    平衡二叉树、B树、B+树、B*树
    数据库事务和四种隔离级别
    python 安装surprise库解决 c++tools错误问题
    python的sorted函数
    爬虫出现gbk错误
    Windows下Python安装numpy+mkl,Scipy和statsmodels
    Flask--框架及路由
    flask常见面试题
    RE正则表达式
  • 原文地址:https://www.cnblogs.com/coding-of-love/p/4047205.html
Copyright © 2011-2022 走看看