ADO.NET 参数化查询

　  

　参数化查询　　

•    　使用参数化查询的情景有很多，但最常用的情景是需要用户在查询中进行输入的情况。　

　　有两种方法可供使用。第一，可以讲用户输入嵌入到查询字符串中，例如可能使用.NET　Framework中的String.Format函数。　　

　　第二种方法是构造一种参数化查询。 

　　     在开始时执行如下所示的基本查询：　

　　

       select count（*） from UserInfo
　　

　　　　 where UserName=‘{0}’ and PassWord=‘{1}’

 　　

　　     然后利用用户的输入构造如下查询：

 

1        select count（*） from UserInfo
2 　　
3 
4 　　　　 where UserName=‘myUserName’ and PassWord=‘myPassWord’’

 

　　　　如果对正在执行的查询有一些了解，输入如下内容：NonUser' or 1=1 --,那么代码就会执行如下查询。

 

1        select count（*） from UserInfo
2 　　
3 
4 　　　　 where UserName=‘NonUser' or 1=1 --" and PassWord=‘myPassWord’’

　　   

　　　　双连字符在SQL Server的查询语法中特别重要。它表示：该行后面的内容是注释。换句话说，and PassWord=‘myPassWord’被忽略了。

　　　　现在，UserName=‘NonUser'并不成立，但where子句的另一半（1=1）对于所有行均成立。因此，该查询将成功执行。

•  　　　 使用参数化查询。　

　　　　代码示例：

 

　　　　　　　SqlConnectionStringBuilder connstr = new SqlConnectionStringBuilder();

            connstr.DataSource = "ZHANG-PC";

            connstr.InitialCatalog = "sq";

            connstr.IntegratedSecurity = true;

            using (SqlConnection conn = new SqlConnection(connstr.ConnectionString))
            {

                conn.Open();

                SqlCommand cmd = new SqlCommand();

                cmd.CommandText = "select count（*） from UserInfo where UserName=@username and PassWord=@password";

                cmd.Parameters.AddWithValue("@username","zyb12345");

                cmd.Parameters.AddWithValue("@password","654321");

                cmd.Connection = conn;

                SqlDataReader read = cmd.ExecuteReader();

                while (read.Read())
                {

                    Console.WriteLine("userName:{0}", read.GetString(0));

                }

                conn.Close();

            }

　　　

      　在ADO.NET中执行一个参数化查询，需要向Command对象的Parameters集合中添加Parameters对象。生成Parameters最简单的方法是：

　　

         调用SqlCommand对象的Parameters集合的AddWithValue函数。

 

　　   SqlCommand的Parameters集合中的AddWithValue方法。

      cmd.Parameters.AddWithValue("@username","zyb12345");

      cmd.Parameters.AddWithValue("@password","654321");

　　

　　或者

　　　

                SqlParameter[] p = new SqlParameter[2];
                 
                p[0].ParameterName = "@username";

                p[0].Value = "zyb12345";

                p[1].ParameterName = "@password";

                p[1].Value = "654321";

                cmd.Parameters.AddRange(p);

                SqlDataReader read = cmd.ExecuteReader();        

 

•        参数数据类型

　　 可以设置SqlParameters对象的SqlDbType属性，以控制在向SQL Server数据库中传递参数信息时所使用的数据类型，即SqlDbType枚举中的值。

       SqlDbType的枚举值有：Int，DateTime,Bit,Money,Image,NVarChar等，在下面的示例中，NVarChar对应的是.NET中的string类型。size(即15）代表字符串的长度，可根据需要设置size的值。       

 

                SqlParameter p;

                p = new qlParameter("@username",SqlDbType.NVarChar,15);

                p.Value = "zyb12345";

 

 

•        参数方向

        在本例中Sqlparameters是输入参数，有时需要输出参数，这时就要设置SqlParameter的参数方向了。此时不需要设置Value属性。代码如下：

 

                SqlParameter w;

                w = cmd.Parameters.Add("@username", SqlDbType.NVarChar);

                w.Direction = ParameterDirection.Output;                         //设置参数方向

                cmd.ExecuteNonQuery();                                           //执行语句

                Console.Write(w.Value);           　　　　　　　　　　　　　　　　　　//获取输出值（执行完数据查询后才能获取Value值）