当前位置:   article > 正文

【Sql Server】C#通过拼接代码的方式组合添加sql语句,会出现那些情况,参数化的作用_sql注入拼接改成参数化

sql注入拼接改成参数化

欢迎来到《小5讲堂》,大家好,我是全栈小5。
这是《Sql Server》系列文章,每篇文章将以博主理解的角度展开讲解,
特别是针对知识点的概念进行叙说,大部分文章将会对这些概念进行实际例子验证,以此达到加深对知识点的理解和掌握。
温馨提示:博主能力有限,理解水平有限,若有不对之处望指正!

在这里插入图片描述

前言

博主写的很多博客分享,都是来源于实际开发和学习过程中遇到的一些细节问题,
因此通过文章的方式记录下来,这不仅可以边写边总结边边理解,这样也能加深印象。
本篇文章是讲,为什么要用参数化来生成sql语句?通过创建测试项目一起探索吧!

语句报错

没有进行参数化传递值,通过纯拼接方式组合的sql语句,是有可能存在一些sql语句不规范,
从而导致一些报错,比如:博主本次sql语句报错就是因为sql语句存在参数值本身还有逗号,
逗号在sql语句里又是特殊符号。
在这里插入图片描述上图报错提示,在张三附近有语法错误,这个时候如果不是具体分析sql语句,但从错误提示是看不出什么原因。

在这里插入代码片
  • 1

报错原因

通过调试和查看sql语句,观察可以看到,在赋值时,如果粗心大意的话,是很容易多写了一次单引号
在这里插入图片描述

参数优化

基于上面错误,如果赋值确实需要带上单引号进行查询,那么就需要通过参数化的方式。
添加一条记录测试,具体创建表可以在文章后面查看相关链接

declare @agent_name nvarchar(50)
set @agent_name='''张三'''

insert into test_name(city_name,area_name,agent_name)
values('深圳市','龙岗区',@agent_name)
  • 1
  • 2
  • 3
  • 4
  • 5

从下图可以看到,使用参数化可以传递单引号值,也不会引发sql语句报错在这里插入图片描述

ADO.NET

在 C# 的 ADO.NET 中,以下是一些基本的类及其主要作用:

1.SqlConnection
用于建立与 SQL Server 数据库的连接。

2.SqlCommand
用于执行 SQL 语句或存储过程,并返回受影响的行数、结果集或标量值。

3.SqlDataAdapter
用于从数据库中读取数据,并填充到 DataSet 或 DataTable 中。
可以直接执行sql语句,如果没有where条件或者参数化时

4.DataSet
本身不包含数据,但是可以包含一个或多个 DataTable ,以及它们之间的关系。

5.DataTable
表示内存中的表格,包含多个 DataRow,一行表示一条记录,包含多个列(字段)。

6.DataRow
表示 DataTable 中的一行数据,通过列名或索引访问数据。

安装包

和十年前VS开发工具相比,现在VS版本越来越智能化,会自动识别进行包的安装,非常方便和高效。在这里插入图片描述

链接模式

C# ADO.NET 链接字符串两种模式,一个是要账号密码,一种是不需要账号密码。
在 C# 中使用 ADO.NET 连接数据库时,连接字符串通常包含数据库连接所需的信息。
如果采用 Windows 身份验证方式连接数据库,连接字符串通常不需要包含明确的用户名和密码,因为它会使用当前 Windows 用户的身份验证信息。这就是 “Windows 身份验证” 模式。
下面是一个使用 Windows 身份验证的连接字符串示例:

string connectionString = "Data Source=ServerName;Initial Catalog=DatabaseName;Integrated Security=True;";
  • 1

如果使用的是 SQL Server 身份验证方式连接数据库,那么连接字符串需要包含用户名和密码信息。
下面是一个使用 SQL Server 身份验证的连接字符串示例:

string connectionString = "Data Source=ServerName;Initial Catalog=DatabaseName;User ID=UserName;Password=Password;";
  • 1

参数化作用

通过上面代码分析,参数化的其中一个作用,能够规范化进行传参,避免和sql本身有重复的值。
除了这个作用外,还有其他作用,比如:

1.预防 SQL 注入攻击
通过使用参数化查询,可以确保用户输入的数据不会被误解为 SQL 代码的一部分,从而有效地防止 SQL 注入攻击。因为参数化查询会将用户输入的数据作为数值或文本来处理,而不是作为可执行的 SQL 代码。

2.提高代码可读性和可维护性
使用参数化查询可以将 SQL 查询语句与参数值分离开来,使代码更清晰易懂。这样的设计有助于提高代码的可读性和可维护性,减少了混杂在一起的 SQL 代码和参数值所带来的混乱。

3.提高执行效率
数据库服务器通常会对参数化查询进行缓存和优化,因此可以提高查询的执行效率。通过将参数化查询参数化,数据库可以更好地重复使用预编译的查询计划,从而减少了解析和编译 SQL 查询语句的开销。

4.避免数据类型问题
使用参数化查询可以根据参数的数据类型来正确地将参数值传递给数据库,避免了在某些情况下需要手动对数据进行类型转换的问题。

文章推荐

【Sql Server】Update中的From语句,以及常见更新操作方式

【Sql server】假设有三个字段a,b,c 以a和b分组,如何查询a和b唯一,但是c不同的记录

【Sql Server】新手一分钟看懂在已有表基础上修改字段默认值和数据类型

【数据库】Sql Server数据迁移,处理自增字段赋值

【数据类型】C#和Sql Server、Mysql、Oracle等常见数据库的数据类型对应关系

总结:温故而知新,不同阶段重温知识点,会有不一样的认识和理解,博主将巩固一遍知识点,并以实践方式和大家分享,若能有所帮助和收获,这将是博主最大的创作动力和荣幸。也期待认识更多优秀新老博主。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/327431
推荐阅读
相关标签
  

闽ICP备14008679号