SQL语句安全性与查询效率
2010-04-07 16:22
288 查看
insertstr="insert into userinfo(name,password,email,phone,mobile,post,address)
VALUES(``";
insertstr += this._name.Trim()
;+ "``,``";
insertstr += this._password.Trim() +"``,``";
insertstr += this._email.Trim() +"``,``";
insertstr += this._phone.Trim() +"``,``";
insertstr += this._mobile.Trim() +"``,``";
insertstr += this._post.Trim() +"``,``";
insertstr += this._address.Trim() +"``)";
1效率问题
首先看看上边这段代码,效率太低了,这么多的字符串连接本身效率就够低的了,再加上这么些trim(),完全没有必要。
2安全性
同上,利用单引号我可以做很多事,比如运行个xp_cmd命令,那你就惨了,呵呵。
那么,怎样来写呢,上面这段代码可以改成这样:
以下为引用的内容:
string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 ,
@c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20)
myCommand.Parameters["@c1"].Value = this._Name ;
....
}
catch(...)
...
既可以避免低效率的字符串连接,又利用sqlcommand参数有效性检测来避免非法字符,并且这种parameter方式是预编译的,效率高。
VALUES(``";
insertstr += this._name.Trim()
;+ "``,``";
insertstr += this._password.Trim() +"``,``";
insertstr += this._email.Trim() +"``,``";
insertstr += this._phone.Trim() +"``,``";
insertstr += this._mobile.Trim() +"``,``";
insertstr += this._post.Trim() +"``,``";
insertstr += this._address.Trim() +"``)";
1效率问题
首先看看上边这段代码,效率太低了,这么多的字符串连接本身效率就够低的了,再加上这么些trim(),完全没有必要。
2安全性
同上,利用单引号我可以做很多事,比如运行个xp_cmd命令,那你就惨了,呵呵。
那么,怎样来写呢,上面这段代码可以改成这样:
以下为引用的内容:
string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 ,
@c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20)
myCommand.Parameters["@c1"].Value = this._Name ;
....
}
catch(...)
...
既可以避免低效率的字符串连接,又利用sqlcommand参数有效性检测来避免非法字符,并且这种parameter方式是预编译的,效率高。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- SQL语句安全性与查询效率
- 学习asp.net之SQL语句查询效率和安全性
- 学习asp.net之SQL语句查询效率和安全性
- JDBC获取SQL查询语句返回记录数的三种方式效率比较
- SQL查询效率where语句条件
- SQL 2005 ROW_NUMBER() 语句分页 | SQL效率最高的分页查询数据
- 百万数据查询测试 只需1秒--Sql语句效率测试 经典
- MySQL 使用explain分析sql语句的查询效率
- 要提高SQL查询效率where语句条件的先后次序应如何写 使你的 SQL 语句完全优化
- 如何查询mysql中执行效率低的sql语句
- 查询mysql中执行效率低的sql语句的方法
- 要提高SQL查询效率where语句条件的先后次序应如何写
- 提高SQL语句查询效率若干建议
- Oracle提高SQL查询效率where语句条件的先后次序
- 提高SQL语句查询效率的若干建议
- 利用DMV 查询效率低的sql语句
- 通过MySQL慢查询日志定位执行效率低的SQL语句
- 在一个千万级的数据库查寻中,如何提高查询效率?分别说出在数据库设计、SQL语句、java等层面的解决方案。
- 查看SQL语句查询效率
- sql语句中一种可以代替like查询语句的效率较高的查询关键字的方法