不用存储过程一样参数传递
2006-08-26 10:31
204 查看
用SQLServer的存储过程,一是可以提高访问效率,二是可以杜绝SQL注入攻击。但是如果要在SQLServer里面写入大量的存储过程、数据逻辑、甚至是业务逻辑,这就会给整个系统的移植、修改带来了大量麻烦。那么有什么办法可以既不是用存储过程,又可以杜绝SQL注入攻击呢?答案就是把“存储过程”写在程序里!废话少说,看代码:
SqlConnection con = new SqlConnection(GetConnectionString());
SqlCommand cmd = new SqlCommand("SELECT CategoryName FROM Category WHERE CategoryID=@CategoryID", con);
cmd.Parameters.Add("@CategoryID", SqlDbType.Int,4);
cmd.Parameters["@CategoryID"].Value=CategoryID;
string CategoryName=string.Empty;
try
{
con.Open();
CategoryName = (string)cmd.ExecuteScalar();
}
catch
{
CategoryName = "Error";
}
finally
{
con.Close();
}
这样,我们的SQL语句就不是拼凑出来的,想注入门也没有~
不过还有一个问题,比如说SELECT CategoryName FROM Category中,我想要SELECT的CategoryName也是变量,那该怎么办呢?经过试验,CategoryName不能写成@CategoryName,没有这样的语法,只能CategoryName=@CategoryName,必须有个等号,而这里又不能用等号,该怎么办呢?
有人说,拼凑……的确,任何情况下,拼凑是万能的,但是仍然会有SQL注入的隐患,因为变量不在WHERE子句中,所以安全隐患大大减小。然而,拼凑也是有好、坏方法之分,正解是String.Format()方法,它能替换字符串的N组内容,详细信息请查阅MSDN。
SqlConnection con = new SqlConnection(GetConnectionString());
SqlCommand cmd = new SqlCommand("SELECT CategoryName FROM Category WHERE CategoryID=@CategoryID", con);
cmd.Parameters.Add("@CategoryID", SqlDbType.Int,4);
cmd.Parameters["@CategoryID"].Value=CategoryID;
string CategoryName=string.Empty;
try
{
con.Open();
CategoryName = (string)cmd.ExecuteScalar();
}
catch
{
CategoryName = "Error";
}
finally
{
con.Close();
}
这样,我们的SQL语句就不是拼凑出来的,想注入门也没有~
不过还有一个问题,比如说SELECT CategoryName FROM Category中,我想要SELECT的CategoryName也是变量,那该怎么办呢?经过试验,CategoryName不能写成@CategoryName,没有这样的语法,只能CategoryName=@CategoryName,必须有个等号,而这里又不能用等号,该怎么办呢?
有人说,拼凑……的确,任何情况下,拼凑是万能的,但是仍然会有SQL注入的隐患,因为变量不在WHERE子句中,所以安全隐患大大减小。然而,拼凑也是有好、坏方法之分,正解是String.Format()方法,它能替换字符串的N组内容,详细信息请查阅MSDN。
相关文章推荐
- 使用VS.NET向水晶报表中的存储过程传递参数
- oracle 创建,删除存储过程,参数传递,创建,删除存储函数,存储过程和函数的查看,包,系统包
- Mysql向存储过程中传递中文参数变成乱码的解决方案
- oracle 存储过程详细介绍(创建,删除存储过程,参数传递等)1
- oracle 创建,删除存储过程,参数传递,创建,删除存储函数,存储过程和函数的查看,包,系统包
- mysql存储过程的参数名不要跟字段名一样 (血淋淋的代价)
- C# 调用sql的存储过程并传递参数
- mysql存储过程的参数名不能和表字段名一样,否则不执行条件
- 存储过程传递参数时出现类型转换错误!如:varchar转换为int时出错
- 存储过程的参数传递问题
- Oracle 10g存储过程学习二——为参数传递变量和数据
- oracle 存储过程详细介绍(创建,删除存储过程,参数传递等)
- 解决SQL中in参数在存储过程中的传递问题
- oracle 存储过程详细介绍(创建,删除存储过程,参数传递等)
- SQL server 存储过程中解决整数参数的传递问题
- SQL实现递归及存储过程中In()参数传递解决方案详解
- 转:oracle 存储过程详细介绍(创建,删除存储过程,参数传递等)
- oracle 创建,删除存储过程,参数传递,创建,删除存储函数,存储过程和函数的查看,包,系统包
- 关于对MYSQL存储过程传递参数是纯数字还是字符串的判断
- oracle 创建,删除存储过程,参数传递,创建,删除存储函数,存储过程和函数的查看,包,系统包