SqlParameter的作用与用法
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。
专注于为中小企业提供成都网站制作、成都网站设计服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业克拉玛依免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了上1000家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
- string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter
- SqlConnection conn = new SqlConnection();
- conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";//连接字符串与数据库有关
- SqlCommand cmd = new SqlCommand(sql, conn);
- try
- {
- conn.Open();
- return(cmd.ExecuteNonQuery());
- }
- catch (Exception)
- {
- return -1;
- throw;
- }
- finally
- {
- conn.Close();
- }
上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。
一、Add方法
- SqlParameter sp = new SqlParameter("@name", "Pudding");
- cmd.Parameters.Add(sp);
- sp = new SqlParameter("@ID", "1");
- cmd.Parameters.Add(sp);
该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。
二、AddRange方法
- SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name", "Pudding"), new SqlParameter("@ID", "1") };
- cmd.Parameters.AddRange(paras);
显然,Add方法在添加多个SqlParameter时不方便,此时,可以采用AddRange方法。
下面是通过SqlParameter向数据库存储及读取图片的代码。
- view sourceprint?01 public int SavePhoto(string photourl)
- {
- FileStream fs = new FileStream(photourl, FileMode.Open, FileAccess.Read);//创建FileStream对象,用于向BinaryReader写入字节数据流
- BinaryReader br = new BinaryReader(fs);//创建BinaryReader对象,用于写入下面的byte数组
- byte[] photo = br.ReadBytes((int)fs.Length); //新建byte数组,写入br中的数据
- br.Close();//记得要关闭br
- fs.Close();//还有fs
- string sql = "update Table1 set photo = @photo where ID = '0'";
- SqlConnection conn = new SqlConnection();
- conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";
- SqlCommand cmd = new SqlCommand(sql, conn);
- SqlParameter sp = new SqlParameter("@photo", photo);
- cmd.Parameters.Add(sp);
- try
- {
- conn.Open();
- return (cmd.ExecuteNonQuery());
- }
- catch (Exception)
- {
- return -1;
- throw;
- }
- finally
- {
- conn.Close();
- }
- }
- public void ReadPhoto(string url)
- {
- string sql = "select photo from Table1 where ID = '0'";
- SqlConnection conn = new SqlConnection();
- conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";
- SqlCommand cmd = new SqlCommand(sql, conn);
- try
- {
- conn.Open();
- SqlDataReader reader = cmd.ExecuteReader();//采用SqlDataReader的方法来读取数据
- if (reader.Read())
- {
- byte[] photo = reader[0] as byte[];//将第0列的数据写入byte数组
- FileStream fs = new FileStream(url,FileMode.CreateNew);创建FileStream对象,用于写入字节数据流
- fs.Write(photo,0,photo.Length);//将byte数组中的数据写入fs
- fs.Close();//关闭fs
- }
- reader.Close();//关闭reader
- }
- catch (Exception ex)
- {
- throw;
- }
- finally
- {
- conn.Close();
- }
- }
- }
【编辑推荐】
- ASP.net的身份验证方式FORMS
- ASP.Net中保护自定义的服务器控件
- 大型高性能ASP.NET系统架构设计
- ASP.NET配置文件Web.config详细解释
- VB.NET和ASP.NET编码规范
本文标题:SqlParameter的作用与用法
链接地址:http://www.shufengxianlan.com/qtweb/news49/394149.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
- 三级防雷的标准做法?(服务器怎么防雷)
- windows唤醒硬盘?(如何唤醒硬盘)
- LINQ查询全面剖析
- 百度营销专家能否提高企业的转化率,百度营销专家在企业营销中扮演的角色
- 30秒get虚拟主机使用技巧(虚拟主机相关知识)
- 乐视帐号登录服务器异常,怎么办?修改乐视云服务器
- html中如何设置文字行距
- margin-top属性的语法和特征
- Linux下如何安装JDK7(linux安装jdk7)
- 海外服务器租用时流量超标怎么办啊(流量超标了怎么补救?)
- 2022年程序员需要了解的十大Golang框架
- 实例讲解.NET应用访问数据库的开销问题
- 研究人员致力于智能化Web应用程序安全扫描工具
- lua中求table长度具体方法
- html给div设置背景图片