相关知识:

  1. 在ADO.NET访问SQL Server时,鼓励使用存储过程取代常规的SQL语句。
  2. 存储过程有下列优点:
    • 存储过程中的SQL语句将会经过预先的解析和编译,然后存放在数据库服务器上行。调用的时候不必在此解析语法和编译,因此效率比采用常规SQL语句高
    • 带参数的存储过程在一定程度上可以降低SQL注入攻击的风险
    • 存储过程便于在数据库服务器上统一管理,减少了程序员维护SQL代码的工作量
    • 存储过程有利于重用某些数据库的访问逻辑

代码示例:

  1. 在数据库中创建存储过程(沿用SQLInjection案例描述的数据库。请确保Account表中有若干行数据)

    • 不带参数的存储过程:forAccountGetAll 
          CREATE PROCEDURE forAccountGetAll
      
    AS
      
    SELECT AccountID, AccountName, Password FROM Account
    • 带输入参数的存储过程:forAccountInsert 
          CREATE PROCEDURE forAccountInsert
      
    (@AccountID int,
      
     @AccountName nvarchar(50),
      
     @Password nvarchar(50)
      
     )AS
      
     INSERT INTO Account(AccountID, AccountName, password) VALUES(@AccountID, @AccountName, @password)
    • 带输入和输出从参数的存储过程:根据用户名和密码,找到匹配的AccountID作为输出参数:forAccountLogin 
           CREATE PROCEDURE forAccountLogin
      
     (@AccountName nvarchar(50),
      
      @Password nvarchar(50),
      
      @AccountID int output
      
      )AS
      
      SELECT @AccountID=AccountID FROM Account WHERE AccountName=@AccountName AND password=@password
  2. 代码 
     using System;
    
 using System.Collections.Generic;
    
 using System.Linq;
    
 using System.Text;
    
 using System.Threading.Tasks;
    
 using System.Data;
    
 using System.Data.SqlClient;

 namespace ConsoleApplication12
    
 {
    
     class Program
    
     {
    
         static string strConn = @"server=Joe-PC;database=AccountDBforSQLInjection;uid=sa;pwd=root";
    
         static SqlConnection conn = new SqlConnection(strConn);
    
         static void Main(string[] args)
    
         {
    
             //调用不带参数的存储过程
    
             //CallProcedureGetAll();
    
             //调用带输入参数的存储过程
    
             //CallProcedureInsert();
    
             //调用带输入和输出参数的存储过程
    
             //CallProcedureLogin();
    
         }

         static void CallProcedureGetAll()
    
         {
    
             string sql = "forAccountGetAll";//存储过程名字

             SqlDataAdapter da = new SqlDataAdapter(sql, conn);
    
             da.SelectCommand.CommandType = CommandType.StoredProcedure;//指定调用存储过程(默认是SQL文本)

             DataSet ds = new DataSet();
    
             da.Fill(ds, "AccountGetAll");

             DataTable dt = ds.Tables["AccountGetAll"];
    
             DataView dv = new DataView(dt);

             dv.Sort = "AccountID ASC";

             Console.WriteLine("调用存储过程 forAccountGetAll:");

             foreach (DataRowView drv in dv)
    
             {
    
                 Console.WriteLine("{0}:{1},{2}", drv["AccountID"], drv["AccountName"], drv["password"]);
    
             }
    
         }

         static void CallProcedureInsert()
    
         {
    
             string sql = "forAccountInsert";
    
             SqlCommand cmd = new SqlCommand(sql, conn);

             cmd.CommandType = CommandType.StoredProcedure;
    
             //设置参数值,并添加到Command对象的参数集合中
    
             cmd.Parameters.AddWithValue("@AccountID", );
    
             cmd.Parameters.AddWithValue("@AccountName", "new");
    
             cmd.Parameters.AddWithValue("@password", "");

             conn.Open();
    
             cmd.ExecuteNonQuery();
    
             conn.Close();
    
         }

         static void CallProcedureLogin()
    
         {
    
             string sql = "forAccountLogin";
    
             SqlCommand cmd = new SqlCommand(sql, conn);

             cmd.CommandType = CommandType.StoredProcedure;
    
             //设置输入参数值
    
             cmd.Parameters.AddWithValue("@AccountName", "Joe");
    
             cmd.Parameters.AddWithValue("@password", "");
    
             //准备输出参数
    
             SqlParameter param = new SqlParameter("@AccountID", SqlDbType.Int);
    
             param.Direction = ParameterDirection.Output;//指定是输出参数

             cmd.Parameters.Add(param); // 将输出参数添加到Command对象的参数集合中

             conn.Open();
    
             cmd.ExecuteNonQuery();
    
             //如果没有满足条件的用户名和密码,那么输出参数@AccountID的值将为DBNull.Value
    
             if (param.Value == DBNull.Value)
    
             {
    
                 Console.WriteLine("failed");
    
             }
    
             else
    
             {
    
                 Console.WriteLine("Done");
    
             }
    
             conn.Close();
    
         }
    
     }
    
 }

ADO.NET笔记——调用存储过程的更多相关文章

  1. ADO.NET系列之事务和调用存储过程

    ADO.NET系列之Connection对象 ADO.NET系列之Command对象 ADO.NET系列之DataAdapter对象 ADO.NET系列之事务和调用存储过程 前几篇我们介绍了Conne ...

  2. 数据库复习总结(20)-存储过程以及.net调用存储过程

    一.存储过程(注意区分将一段select语句进行封装叫做视图)(1)将一段t-sql脚本进行封装,以完成一个逻辑操作(2)创建存储过程:            create proc 名称      ...

  3. c++ ado 调用存储过程并得到输出参数和返回值

    // AccessSqlserverByAdo.cpp : 定义控制台应用程序的入口点. // #include "stdafx.h" #include <Windows.h ...

  4. IBatis.Net学习笔记十三:在IBatis.Net中调用存储过程

    其实调用方式比较简单,主要也就是两种类型的存储过程:1.更新类型的存储过程2.查询类型的存储过程下面就来看看具体的调用方式:1.更新类型的存储过程sp_InsertAccount: CREATE PR ...

  5. [原创]java WEB学习笔记79:Hibernate学习之路--- 四种对象的状态,session核心方法:save()方法,persist()方法,get() 和 load() 方法,update()方法,saveOrUpdate() 方法,merge() 方法,delete() 方法,evict(),hibernate 调用存储过程,hibernate 与 触发器协同工作

    本博客的目的:①总结自己的学习过程,相当于学习笔记 ②将自己的经验分享给大家,相互学习,互相交流,不可商用 内容难免出现问题,欢迎指正,交流,探讨,可以留言,也可以通过以下方式联系. 本人互联网技术爱 ...

  6. SSIS使用OleDB和Ado.Net两种方式调用 存储过程

    在使用”执行 SQL 任务“组件调用存储过程时,连接方式使用OleDB和Ado.Net稍有不同,结合图例说明一下 当我们使用OleDB时,设置的截图如下: 参数使用?来代替,Parameter Nam ...

  7. ADO.NET访问SQL Server调用存储过程带回参

    1,ADO.NET访问SQL Server调用存储过程带回参 2,DatabaseDesign  use northwind go --存储过程1 --插入一条商品 productname=芹菜 un ...

  8. MyBatis学习笔记(六)——调用存储过程

    转自孤傲苍狼的博客:http://www.cnblogs.com/xdp-gacl/p/4270352.html 一.提出需求 查询得到男性或女性的数量, 如果传入的是0就女性否则是男性 二.准备数据 ...

  9. MySQL学习笔记:调用存储过程或函数报1418错误

    问题 MySQL开启bin-log后,调用存储过程或者函数以及触发器时,会出现错误号为1418的错误: ERROR 1418 (HY000): This function has none of DE ...

随机推荐

  1. php & 引用

    引用的作用: 如果程序比较大,引用同一个对象的变量比较多,并且希望用完该对象后手工清除它,个人建议用 "&" 方式,然后用$var=null的方式清除. 其它时候还是用ph ...

  2. 基于Linux的集群系统(八)--转

    引用位置:http://www.ibm.com/developerworks/cn/linux/cluster/linux_cluster/part8/index.html OSI参考模型及TCP/I ...

  3. Java构造器和方法的区别

    摘要要学习Java,你必须理解构造器.因为构造器可以提供许多特殊的方法,这个对于初学者经常混淆.但是,构造器和方法又有很多重要的区别.原作者:Robert Nielsen 原站:www.javawor ...

  4. 什么是CSS清除浮动?

    在非IE浏览器(如Firefox)下,当容器的高度为auto,且容器的内容中有浮动(float为left或right)的元素,在这种情况下,容器的高度不能自动伸长以适应内容的高度,使得内容溢出到容器外 ...

  5. Unity3D 使用 UI 的 Grid Layout Group 组件。

    1.首先创建一个容器,用于存放列表项的内容. 这里使用 Panel 来做为容器. 这里要注意! “Grid Layout Group”是要增加在容器的游戏对象里. 同时,只有容器对象的子对象才有排列效 ...

  6. 沈逸老师PHP魔鬼特训笔记(6)--巫术与骨架

    PHP最牛逼的特性之一除了懒人函数,还有一些魔法函数. 首先我们来认识下__tostring,通过一个巫术方法,我们吧实例转化过后的类,直接当字符串输出.结合我们前面所做的功能,我们在类里面加上这个函 ...

  7. 【Shell脚本学习2】Shell脚本语言与编译型语言的差异

    大体上,可以将程序设计语言可以分为两类:编译型语言和解释型语言. 编译型语言 很多传统的程序设计语言,例如Fortran.Ada.Pascal.C.C++和Java,都是编译型语言.这类语言需要预先将 ...

  8. 【Android 界面效果17】Android手机平板两不误,使用Fragment实现兼容手机和平板的程序

    记得我之前参与开发过一个华为的项目,要求程序可以支持好几种终端设备,其中就包括Android手机和Android Pad.然后为了节省人力,公司无节操地让Android手机和Android Pad都由 ...

  9. Android小项目之五 splash动画效果

    ------- 源自梦想.永远是你IT事业的好友.只是勇敢地说出我学到! ---------- 按惯例,写在前面的:可能在学习Android的过程中,大家会和我一样,学习过大量的基础知识,很多的知识点 ...

  10. 转:实体ToolTip显示XData

    首先要说明,实现方式不是我的原创,其中ToolTip的实现转自这里,然后XData的设置和获取来自Kean的博客,当然我自己也做了点研究,在这里,然后把这两个技术结合起来就是你将要看到的东西. 先上效 ...