为什么要使用SqlParameter 而不是嵌入参数?
我有一个sqlhelper类,包含一个重载的ExecuteNonQuery:一个只有一个参数(commandText),另一个有两个参数(commandText,SqlParameter [])。
假设我有一个没有用户交互的独立控制台应用程序,我将调用一个只更新一个包含3个参数的表的存储过程,如果我可以轻松地构建字符串,那么使用SqlParameter []有什么好处?只是将它作为commandText发送?
换句话说,为什么要使用以下内容:
SqlParameter[] parameters = { new SqlParameter("parm1" SqlDbType.VarChar, 3), new SqlParameter("parm2", SqlDbType.VarChar, 8), new SqlParameter("parm3", SqlDbType.VarChar, 2), new SqlParameter("parm4", SqlDbType.VarChar, 4) }; parameters[0].Value = p1; parameters[1].Value = p2; parameters[2].Value = p3; parameters[3].Value = p4; 当我可以使用这样的东西时:
strQueryToRun = string.Format("exec updateTable {0}, {1}, {2}, {3}", p1, p2, p3, p4);
这是一个独立的控制台应用程序,因此不可能进行SQL注入。
谢谢。
第一个也是最重要的原因是,您的查询会执行您期望它执行的操作 ,而不是恶意使其执行的操作。 看看有关SQL注入的维基百科文章 。
除了减轻(有效消除)SQL注入的风险之外,使用参数还允许SQL Server利用缓存的查询计划。 在您的特定实例中(您只是调用存储过程,其计划几乎肯定已经编译和缓存),这不是一个问题,但这是您需要参数化查询的更一般的原因。
另一个原因(正如Ali在另一个答案中指出的那样)是使用string.Format方法将提供您的参数,无论字符串表示是本机.NET类型。 对于数字,这不是问题。 对于字符串类型,您必须用单引号括起来并正确转义任何嵌入的引号(以及可能的其他清理例程)。 使用该参数可让SQL客户端库担心数据如何传递到服务器。
也就是说,我不会像你上面写的那样使用代码。 我根本不会构造一个SqlParameter数组。 有多种方法可以将参数添加到SqlCommand (或DbCommand或您正在使用的任何内容),例如AddWithValue ,它提供的详细机制足以满足大多数添加的参数。
即使忽略AddWithValue ,我仍然会为每个参数创建单独的变量,并将它们命名为有意义的东西。
var parm1 = new SqlParameter("parm1", SqlDbType.VarChar, 3); var parm2 = new SqlParameter("parm2", SqlDbType.VarChar, 8); var parm3 = new SqlParameter("parm3", SqlDbType.VarChar, 2); var parm4 = new SqlParameter("parm4", SqlDbType.VarChar, 4); parm1.Value = p1; parm2.Value = p2; parm3.Value = p3; parm4.Value = p4;
(显然像parm1或parm2这样的名字远非有意义,但我认为你的实际参数名称比你的例子更有意义)
仅仅因为两个原因:
- 参数有助于强制执行强大的数据输入 ,使用字符串方式丢失!
- 避免SQL注入
就这样。
避免SQL注入。 例如,如果我使我的参数为4;\nDROP PROCEDURE updateTable; 它会导致您的服务器执行以下操作。
exec updateTable 1, 2, 3, 4; DROP PROCEDURE updateTable;