一尘不染

为什么使用SqlParameter []而不嵌入参数?

sql

我有一个sqlhelper类,其中包含一个重载的ExecuteNonQuery:一个仅包含一个参数(commandText),另一个仅包含两个参数(commandText,SqlParameter
[])。

假设我有一个没有用户交互的独立控制台应用程序,并且我将调用一个存储过程,该存储过程将仅使用3个参数更新一个表,如果我可以轻松地构建字符串并使用SqlParameter[],有什么好处?只是将其作为commandText发送?

换句话说,为什么要使用以下内容:

SqlParameter[] parameters =
    {    
        new SqlParameter("parm1" SqlDbType.VarChar, 3),
        new SqlParameter("parm2", SqlDbType.VarChar, 8),
        new SqlParameter("parm3", SqlDbType.VarChar, 2),
        new SqlParameter("parm4", SqlDbType.VarChar, 4)
    };

parameters[0].Value = p1;
parameters[1].Value = p2;
parameters[2].Value = p3;
parameters[3].Value = p4;

当我可以使用这样的东西时:

strQueryToRun = string.Format("exec updateTable {0}, {1}, {2}, {3}", p1, p2, p3, p4);

这是一个独立的控制台应用程序,因此不可能进行sql注入。

谢谢。


阅读 141

收藏
2021-05-16

共1个答案

一尘不染

第一个也是绝对最重要的原因是,您的查询可以执行您 期望的操作 ,而不是 恶意地使它
执行的操作。看一下有关SQL注入Wikipedia文章

除了减轻(有效消除)SQL注入的风险外,使用参数还允许SQL
Server利用缓存的查询计划。在您的特定实例(您只是在调用存储过程,几乎肯定已经编译并缓存了其计划)的特定实例中,这不是问题,但这是您需要参数化查询的更一般的原因。

另一个原因(如Ali在另一个答案中指出的那样)是,string.Format无论本机.NET类型的字符串表示形式如何,使用该方法都将为您提供参数。对于数字,这不是问题。对于字符串类型,您将必须用单引号引起来,并正确地转义任何嵌入的引号(以及可能的其他清除例程)。使用该参数可使SQL客户端库担心如何将数据传递到服务器。

就是说,我不会使用您上面编写的代码。我根本不会构造SqlParameters的数组。有多种方法可以将参数添加到SqlCommand(或DbCommand正在使用的任何内容)中,例如AddWithValue,提供了一种较简单的机制,足以满足大多数要添加的参数的需要。

即使忽略AddWithValue,我仍然会为每个参数创建单独的变量,并将其命名为有意义的名称。

var parm1 = new SqlParameter("parm1", SqlDbType.VarChar, 3);
var parm2 = new SqlParameter("parm2", SqlDbType.VarChar, 8);
var parm3 = new SqlParameter("parm3", SqlDbType.VarChar, 2);
var parm4 = new SqlParameter("parm4", SqlDbType.VarChar, 4);

parm1.Value = p1;
parm2.Value = p2;
parm3.Value = p3;
parm4.Value = p4;

(显然,类似parm1或的名称parm2没有意义,但我认为 实际的 参数名称比示例更有意义)

2021-05-16