我有一个包含重载的ExecuteNonQuery的sqlhelper类:一个只有一个参数(commandText),另一个有两个参数(commandText,SqlParameter [])。
假设我有一个没有用户交互的独立控制台应用程序,我将调用一个只更新一个包含3个参数的表的存储过程,如果我可以轻松构建,那么使用SqlParameter []有什么好处?字符串,只是将其作为commandText发送?
换句话说,为什么要使用以下内容:
SqlParameter[] parameters =
{
new SqlParameter("parm1" SqlDbType.VarChar, 3),
new SqlParameter("parm2", SqlDbType.VarChar, 8),
new SqlParameter("parm3", SqlDbType.VarChar, 2),
new SqlParameter("parm4", SqlDbType.VarChar, 4)
};
parameters[0].Value = p1;
parameters[1].Value = p2;
parameters[2].Value = p3;
parameters[3].Value = p4;
当我可以使用这样的东西时:
strQueryToRun = string.Format("exec updateTable {0}, {1}, {2}, {3}", p1, p2, p3, p4);
这是一个独立的控制台应用程序,因此不可能进行sql注入。
感谢。
答案 0 :(得分:5)
第一个也是最重要的原因是,您的查询会执行期望它执行的操作,而不是恶意使其做的事情。看看Wikipedia article on SQL Injection。
除了减轻(有效消除)SQL注入的风险之外,使用参数还允许SQL Server利用缓存的查询计划。在您的特定实例中(您只是调用存储过程,其计划几乎肯定已经编译和缓存),这不是一个问题,但这是您需要参数化查询的更一般的原因。
另一个原因(正如Ali在另一个答案中所指出的)是使用string.Format方法将提供您的参数,无论字符串表示是本机.NET类型。对于数字,这不是问题。对于字符串类型,您必须用单引号括起来并正确转义任何嵌入的引号(以及可能的其他清理例程)。使用该参数可以让SQL客户端库担心数据如何传递到服务器。
那就是说,我不会像你上面写的那样使用代码。我根本不会构造一个SqlParameter的数组。将参数添加到SqlCommand(或DbCommand或您正在使用的任何内容)的方法有多种,例如AddWithValue提供的详细机制较少,足以满足大多数人的要求。添加的参数。
即使忽略AddWithValue,我仍然会为每个参数创建单独的变量,并将它们命名为有意义的东西。
var parm1 = new SqlParameter("parm1", SqlDbType.VarChar, 3);
var parm2 = new SqlParameter("parm2", SqlDbType.VarChar, 8);
var parm3 = new SqlParameter("parm3", SqlDbType.VarChar, 2);
var parm4 = new SqlParameter("parm4", SqlDbType.VarChar, 4);
parm1.Value = p1;
parm2.Value = p2;
parm3.Value = p3;
parm4.Value = p4;
(显然,parm1或parm2之类的名称远非有意义,但我认为您的实际参数名称比您的示例更有意义)
答案 1 :(得分:4)
仅仅因为两个原因:
就是这样。
答案 2 :(得分:1)
避免SQL注入。例如,如果我将我的参数设为1,2,3,4;\nDROP PROCEDURE updateTable;,则会导致您的服务器执行以下操作。
exec updateTable 1, 2, 3, 4;
DROP PROCEDURE updateTable;