SqlParameter的作用与用法

原文:http://www.cnblogs.com/pioneerlc/archive/2011/05/21/2053052.html

一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。

 1 string sql = "update Table1 set name = 'Pudding' where ID = '1'";
 2 //未采用SqlParameter
 3 SqlConnection conn = new SqlConnection();
 4 conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";//连接字符串与数据库有关
 5 SqlCommand cmd = new SqlCommand(sql, conn);
 6 try
 7 {
 8     conn.Open();
 9     return(cmd.ExecuteNonQuery());
10 }
11 catch (Exception)
12 {
13     return -1;
14     throw;
15 }
16 finally
17 {
18     conn.Close();
19 }

上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。

一、Add方法

1 SqlParameter sp = new SqlParameter("@name", "Pudding");
2 cmd.Parameters.Add(sp);
3 sp = new SqlParameter("@ID", "1");
4 cmd.Parameters.Add(sp);

该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。

二、AddRange方法

1 SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name", "Pudding"), new SqlParameter("@ID", "1") };
2 cmd.Parameters.AddRange(paras);

显然,Add方法在添加多个SqlParameter时不方便,此时,可以采用AddRange方法。

下面是通过SqlParameter向数据库存储及读取图片的代码。

 1 public int SavePhoto(string photourl)
 2 {
 3     FileStream fs = new FileStream(photourl, FileMode.Open,FileAccess.Read);
 4     //创建FileStream对象,用于向BinaryReader写入字节数据流
 5     BinaryReader br = new BinaryReader(fs);
 6     //创建BinaryReader对象,用于写入下面的byte数组
 7     byte[] photo = br.ReadBytes((int)fs.Length); 
 8     //新建byte数组,写入br中的数据
 9     br.Close();//记得要关闭br
10     fs.Close();//还有fs
11     string sql = "update Table1 set photo = @photo where ID = '0'";
12     SqlConnection conn = new SqlConnection();
13     conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";
14     SqlCommand cmd = new SqlCommand(sql, conn);
15     SqlParameter sp = new SqlParameter("@photo", photo);
16     cmd.Parameters.Add(sp);
17     try
18     {
19         conn.Open();
20         return (cmd.ExecuteNonQuery());
21     }
22     catch (Exception)
23     {
24         return -1;
25         throw;
26     }
27     finally
28     {
29         conn.Close();
30     }
31 }
32 public void ReadPhoto(string url)
33     {
34         string sql = "select photo from Table1 where ID = '0'";
35         SqlConnection conn = new SqlConnection();
36         conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";
37         SqlCommand cmd = new SqlCommand(sql, conn);
38         try
39         {
40             conn.Open();
41             SqlDataReader reader = cmd.ExecuteReader();//采用SqlDataReader的方法来读取数据
42             if (reader.Read())
43             {
44                 byte[] photo = reader[0] as byte[];//将第0列的数据写入byte数组
45                 FileStream fs = new FileStream(url,FileMode.CreateNew);创建FileStream对象,用于写入字节数据流
46                 fs.Write(photo,0,photo.Length);//将byte数组中的数据写入fs
47                 fs.Close();//关闭fs
48             }
49             reader.Close();//关闭reader
50         }
51         catch (Exception ex)
52         {
53             throw;
54         }
55         finally
56         {
57             conn.Close();
58         }
59     }
60 }

 

posted @ 2014-11-18 17:28  季樊  阅读(236)  评论(0编辑  收藏  举报