前言:对于经常忙于服务端开发的小伙伴来说,与DB层打交道是在正常不过的事了,但是每次页面的查询条件新增往往意味着后端代码参数化同比增长,当然你可以不使用sqlhelper自带的参数化条件查询,可以直接传递参数,这样一来,可能你写的代码就变少了,但是存在一个隐藏的问题就是sql注入,对于sql注入我想大家都并不陌生,相关资源和预防措施网上千篇一律,有兴趣可以自己去了解,常用的注入工具是sqlmapper,有兴趣的可以一并去了解。

那么你写代码既要保持代码的优雅,语句条数的少量,有想要保证代码的安全性能,不被轻易注入,有没有一种2种都能兼容的方式呢,在对于一般习惯拘泥于原有代码思维的人来看,可能并没有,但是习惯于从不同角度思考问题的人来说,条条大路通罗马,比如我下面说的这种就是基于.NET 自带的stirngfromatter原理来实现的一种自动化参数化查询~~

由于口头表述不是很好,我直接贴图来说明了,请看

这是原先的参数化查询

  1. public PayOrderEntity GetPayOrderInfoById(int id)
  2. {
  3. PayOrderEntity parorderModel = new PayOrderEntity();
  4. List<SqlParameter> paramList = new List<SqlParameter>();
  5. string sql = @"select p.Id as pid
  6. ,c.Id
  7. ,c.UserId
  8. ,p.OrderId
  9. ,p.TransactionId
  10. ,p.PayType
  11. ,c.TotalPrice as orderprice
  12. ,p.TotalPrice as payprice
  13. ,c.[Status] as orderstatus
  14. ,p.[Status] as paystatus
  15. ,c.CreateTime
  16. ,p.PayTime
  17. ,c.Remark as orderremark
  18. ,p.Remark as payremark
  19. from t_ContentOrder(nolock) c
  20. left join t_Payment(nolock) p
  21. on c.Id=p.OrderId where c.IsDeleted=0 and p.IsDeleted=0 and p.Id= {0}";
  22. paramList.Add(new SqlParameter("@id", id));
  23. try
  24. {
  25. var dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, sql, paramList.ToArray());
  26.  
  27. //使用重写后的DB驱动查询方法调用 by:xuja 2017-05-27 10:34:19
  28. //var dt = SqlQuery(sql, id);
  29.  
  30. parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[]);
  31. }
  32. catch (Exception ex)
  33. {
  34. Core.Log.TraceLogger.Error(ex);
  35. }
  36. return parorderModel;
  37. }

步骤一 先实例化一个sqlparams实体

步骤二 将满足条件的参数传入定义好的参数实体并赋值(可能需要条件验证)

步骤三 将填充完成后的参数对象传入调用的sqlhelper查询接口中

这样四步即可实现整个查询流程

看着流程也并不复杂,但是大家想过一个问题没,如果一个页面有6个以上的查询条件,是不是定义起来会很吃力,这种感觉我相信大家都会有,我也不列外 囧 ,接下来利用formatter原理我们在看看重构后的参数化查询代码

  1. /// <summary>
  2. /// sql参数自动化拼接方法
  3. /// 创建人:xujiangan
  4. /// 2017-05-27 10:35:40
  5. /// </summary>
  6. /// <param name="sqlCommand">需要查询的sql</param>
  7. /// <param name="param">需要拼接的参数列表</param>
  8. /// <returns></returns>
  9. public Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param)
  10. {
  11. var tempKVDic = param.Select((item, i) => new KeyValuePair<string, object>("@an" + i, item)).ToDictionary(k => k.Key, v => v.Value);
  12.  
  13. var tempSqlCommand = string.Format(sqlCommand, tempKVDic.Keys.ToArray());
  14.  
  15. var tempParams = tempKVDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray();
  16.  
  17. return Tuple.Create(tempSqlCommand, tempParams);
  18. }

方法的返回值因为不确定到具体类型,所以用了元组来定义了,元组的能力类似于dynamic T类型,这里就不多介绍了,参数的条件只有2个,1.要执行查询的sql语句 2.需要传递的参数化条件

代码逻辑:1.将参数列表利用键值对的方法一一对应组合,参数可以自动增长,组成参数列表字典;2.使用format方法将sql语句和参数字典拼接;3.将拼接好的查询字符串返回给调用方

原先接口并没有这次参数条件的重载 接下来,我们还学要重写一下sqlhelper执行查询的接口,如下:

  1. /// <summary>
  2. /// 重写ExcuteQuery方法,便于自动话添加参数
  3. /// 创建人:xujiangan
  4. /// 2017-05-27 10:35:07
  5. /// </summary>
  6. /// <param name="sqlCommand">执行sql语句</param>
  7. /// <param name="param">需要新增的查询参数</param>
  8. /// <returns></returns>
  9. public DataSet SqlQuery(string sqlCommand, params object[] param)
  10. {
  11. var dt = new DataSet();
  12. if (param == null || param.Length == )
  13. {
  14. dt = SqlHelper.ExecuteDataset(write_connstring, sqlCommand, CommandType.Text);
  15. }
  16.  
  17. var temp = ProcessSqlCommand(sqlCommand, param);
  18.  
  19. dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, temp.Item1, temp.Item2);
  20.  
  21. //object entity = DbTableConvertor<object>.ConvertToEntity(dt.Tables[0]);
  22.  
  23. return dt;
  24. }

代码大家都能看懂,无非就是有参和无参两种情况做了区分,我就不解释了...

俗话说,欲善其事,必先利其器,有了上面的准备之后,我们就可以调用我们刚才重写的接口啦

调用请看下面:

  1. public PayOrderEntity GetPayOrderInfoById(int id)
  2. {
  3. PayOrderEntity parorderModel = new PayOrderEntity();
  4. string sql = @"select p.Id as pid
  5. ,c.Id
  6. ,c.UserId
  7. ,p.OrderId
  8. ,p.TransactionId
  9. ,p.PayType
  10. ,c.TotalPrice as orderprice
  11. ,p.TotalPrice as payprice
  12. ,c.[Status] as orderstatus
  13. ,p.[Status] as paystatus
  14. ,c.CreateTime
  15. ,p.PayTime
  16. ,c.Remark as orderremark
  17. ,p.Remark as payremark
  18. from t_ContentOrder(nolock) c
  19. left join t_Payment(nolock) p
  20. on c.Id=p.OrderId where c.IsDeleted=0 and p.IsDeleted=0 and p.Id= {0}";
  21. try
  22. {
  23. //使用重写后的DB驱动查询方法调用 by:xuja 2017-05-27 10:34:19
  24. var dt = SqlQuery(sql, id);
  25. parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[]);
  26. }
  27. catch (Exception ex)
  28. {
  29. Core.Log.TraceLogger.Error(ex);
  30. }
  31. return parorderModel;
  32. }

是不是发现少了什么?没错,我们此时不再需要定义繁杂的sqlparams对象拉,直接传递参数即可,有多少传多少,如果太多可以定义数组或者参数实体传递哦~


PS:注意sql代码语句中参数位置改为占位符!!!

到此为止,整个自动化参数化查询基本上就结束了,有问题可以给我留言指出,共勉

项目目前已经应用到 admin.kk.net 支付订单详情页面查询,经多番测试,并没有发现什么问题,看来是可以用的。


建议sql代码大小写一致,保持只解析一次。


高山仰止,景行行止


by:Jsonxu

利用formatter原理自动化参数化查询的更多相关文章

  1. 防止sql注入的参数化查询

    参数化查询为什么能够防止SQL注入 http://netsecurity.51cto.com/art/201301/377209.htm OleDbDataAdapter Class http://m ...

  2. Sql Server参数化查询之where in和like实现详解

    where in 的参数化查询实现 首先说一下我们常用的办法,直接拼SQL实现,一般情况下都能满足需要 string userIds = "1,2,3,4"; using (Sql ...

  3. 【转】Sql Server参数化查询之where in和like实现详解

    转载至:http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html 文章导读 拼SQL实现where in查询 使用CHARINDE ...

  4. SQL Server 2008 R2——VC++ ADO 操作 参数化查询

    ==================================声明================================== 本文原创,转载在正文中显要的注明作者和出处,并保证文章的完 ...

  5. ADO.NET 参数化查询

    参数化查询 使用参数化查询的情景有很多,但最常用的情景是需要用户在查询中进行输入的情况. 有两种方法可供使用.第一,可以讲用户输入嵌入到查询字符串中,例如可能使用.NET Framework中的Str ...

  6. 【转载】Sql Server参数化查询之where in和like实现详解

    文章导读 拼SQL实现where in查询 使用CHARINDEX或like实现where in 参数化 使用exec动态执行SQl实现where in 参数化 为每一个参数生成一个参数实现where ...

  7. Sql Server参数化查询之where in和like实现详解 [转]

    文章导读 拼SQL实现where in查询 使用CHARINDEX或like实现where in 参数化 使用exec动态执行SQl实现where in 参数化 为每一个参数生成一个参数实现where ...

  8. 使用参数化查询防止SQL注入漏洞(转)

    SQL注入的原理 以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询: string sql * FROM [User] WHERE UserName ...

  9. python mysql参数化查询防sql注入

    一.写法 cursor.execute('insert into user (name,password) value (?,?)',(name,password)) 或者 cursor.execut ...

随机推荐

  1. Java中log4j的使用

    前言 距离上一篇文章又过去好长时间了,这段时间一直忙于工作,已经从net彻底转向Java了.工作也慢慢的步入正轨了,自己独自完成了一个小项目,不过工作中遇到了一些问题,还是得到了同学和同事的帮助.本来 ...

  2. js的apply()与call()的区别

    1.各自对应的不同的语法: /*apply()方法*/ function.apply(thisObj[, argArray]) /*call()方法*/ function.call(thisObj[, ...

  3. C#中的DateTime是值类型还是引用类型

    近期遇到了DateTime到底是值类型还是引用类型的疑惑,顺势较深入地了解一下DateTime相关的内容 结论:DateTime是值类型,因为DateTime是结构体,而结构体继承自Syste.Val ...

  4. input标签禁止输入,隐藏光标

    <INPUT class=""  value="" name= "" readonly onfocus="this.blur ...

  5. android studio 2.3 下载地址

      android studio下载:  Windows+SDK:(1.8GB)| Windows(428 MB) | Linux    idea  win.exe  win.zip 序号 名称 中文 ...

  6. 用户登录(Material Design + Data-Binding + MVP架构模式)实现

    转载请注明出处: http://www.cnblogs.com/cnwutianhao/p/6772759.html MVP架构模式 大家都不陌生,Google 也给出过相应的参考 Sample, 但 ...

  7. 蓝桥杯-格子中输出-java

    /* (程序头部注释开始) * 程序的版权和版本声明部分 * Copyright (c) 2016, 广州科技贸易职业学院信息工程系学生 * All rights reserved. * 文件名称: ...

  8. OC中自定义构造方法

    格式 -(instancetype)init(){ self=[super init] if(self){ } return self; } 自定义构造方法规范 1)一定是对象方法,以减号开头 2)返 ...

  9. Python 基础之 异常处理

    python 基础之异常处理 说到异常处理,就得先问一下,什么是异常处理?  先来看一下,什么是异常? 异常就是:程序运行时发出的错误的信号. 异常的种类先来看一下: 一.常见的异常 Attribut ...

  10. 【树莓派】为树莓派配置或扩展swap分区

    ---恢复内容开始--- 由于树莓派3的默认内存只有1G,而应用程序运行过程中,存在大量的IO读写,以及网络转换,内存交换等.这样,也有很多buffer.cache资源占用等,很快就会接近1GB,最终 ...