ADO.NET 参数化查询

　

　参数化查询　　

• 　使用参数化查询的情景有很多，但最常用的情景是需要用户在查询中进行输入的情况。　

　　有两种方法可供使用。第一，可以讲用户输入嵌入到查询字符串中，例如可能使用.NET　Framework中的String.Format函数。　　

　　第二种方法是构造一种参数化查询。

　　     在开始时执行如下所示的基本查询：　

　　

        select count（*） from UserInfo
 　　

 　　　　 where UserName=‘{}’ and PassWord=‘{}’

　　

　　     然后利用用户的输入构造如下查询：

1        select count（*） from UserInfo
2 　　
3
4 　　　　 where UserName=‘myUserName’ and PassWord=‘myPassWord’’

　　　　如果对正在执行的查询有一些了解，输入如下内容：NonUser' or 1=1 --,那么代码就会执行如下查询。

1        select count（*） from UserInfo
2 　　
3
4 　　　　 where UserName=‘NonUser' or 1=1 --" and PassWord=‘myPassWord’’

　　

　　　　双连字符在SQL Server的查询语法中特别重要。它表示：该行后面的内容是注释。换句话说，and PassWord=‘myPassWord’被忽略了。

　　　　现在，UserName=‘NonUser'并不成立，但where子句的另一半（1=1）对于所有行均成立。因此，该查询将成功执行。

• 　　　 使用参数化查询。　

　　　　代码示例：

 　　　　　　　SqlConnectionStringBuilder connstr = new SqlConnectionStringBuilder();

             connstr.DataSource = "ZHANG-PC";

             connstr.InitialCatalog = "sq";

             connstr.IntegratedSecurity = true;

             using (SqlConnection conn = new SqlConnection(connstr.ConnectionString))
             {

                 conn.Open();

                 SqlCommand cmd = new SqlCommand();

                 cmd.CommandText = "select count（*） from UserInfo where UserName=@username and PassWord=@password";

                 cmd.Parameters.AddWithValue("@username","zyb12345");

                 cmd.Parameters.AddWithValue("@password","");

                 cmd.Connection = conn;

                 SqlDataReader read = cmd.ExecuteReader();

                 while (read.Read())
                 {

                     Console.WriteLine("userName:{0}", read.GetString());

                 }

                 conn.Close();

             }

　　　

　在ADO.NET中执行一个参数化查询，需要向Command对象的Parameters集合中添加Parameters对象。生成Parameters最简单的方法是：

　　

调用SqlCommand对象的Parameters集合的AddWithValue函数。

 　　   SqlCommand的Parameters集合中的AddWithValue方法。

       cmd.Parameters.AddWithValue("@username","zyb12345");

       cmd.Parameters.AddWithValue("@password","");

　　

　　或者

　　　

                 SqlParameter[] p = new SqlParameter[];

                 p[].ParameterName = "@username";

                 p[].Value = "zyb12345";

                 p[].ParameterName = "@password";

                 p[].Value = "";

                 cmd.Parameters.AddRange(p);

                 SqlDataReader read = cmd.ExecuteReader();        

• 参数数据类型

　　 可以设置SqlParameters对象的SqlDbType属性，以控制在向SQL Server数据库中传递参数信息时所使用的数据类型，即SqlDbType枚举中的值。

SqlDbType的枚举值有：Int，DateTime,Bit,Money,Image,NVarChar等，在下面的示例中，NVarChar对应的是.NET中的string类型。size(即15）代表字符串的长度，可根据需要设置size的值。

                 SqlParameter p;
                 p = new qlParameter("@username",SqlDbType.NVarChar,1);
                 p.Value = "zyb12345";

• 参数方向

在本例中Sqlparameters是输入参数，有时需要输出参数，这时就要设置SqlParameter的参数方向了。此时不需要设置Value属性。代码如下：

                 SqlParameter w;

                 w = cmd.Parameters.Add("@username", SqlDbType.NVarChar);

                 w.Direction = ParameterDirection.Output;                         //设置参数方向

                 cmd.ExecuteNonQuery();                                           //执行语句

                 Console.Write(w.Value);           　　　　　　　　　　　　　　　　　　//获取输出值（执行完数据查询后才能获取Value值）