C# 在单独的类中使用SQLCommand时使用参数化sql查询
我对在ASP.net应用程序中添加参数化sql查询很感兴趣。我看过一些关于避免SQL注入的好文章C# 在单独的类中使用SQLCommand时使用参数化sql查询,c#,asp.net,sql-injection,code-reuse,C#,Asp.net,Sql Injection,Code Reuse,我对在ASP.net应用程序中添加参数化sql查询很感兴趣。我看过一些关于避免SQL注入的好文章 string sql = string.Format("INSERT INTO [UserData] (Username, Password, Role, Membership, DateOfReg) VALUES (@Username, @Password, @Role, @Membership, @DateOfReg)"); SqlCommand cmd = new SqlCom
string sql = string.Format("INSERT INTO [UserData] (Username, Password, Role, Membership, DateOfReg) VALUES (@Username, @Password, @Role, @Membership, @DateOfReg)");
SqlCommand cmd = new SqlCommand(sql, conn);
try
{
cmd.Parameters.AddWithValue("Username", usernameTB.Text);
cmd.Parameters.AddWithValue("Password", passwordTB.Text);
cmd.Parameters.AddWithValue("Role", roleTB.Text);
cmd.Parameters.AddWithValue("Membership", membershipTB.Text);
cmd.Parameters.AddWithValue("DateOfReg", dorTB.Text);
conn.Open();
cmd.ExecuteNonQuery();
conn.Close();
public class DBconnection{
public int insertQuery(String query) {
int affectedRowCount = 0;
SqlConnection conn = null;
try{
conn = new SqlConnection("Server=localhost;Database=master;UID=sa;PWD=sa;");
SqlCommand cmd = new SqlCommand( query, conn );
cmd.CommandType = CommandType.Text;
conn.Open( );
affectedRowCount = cmd.ExecuteNonQuery( );
conn.Close( );
} catch ( Exception e ){
String error = e.Message;
}
return affectedRowCount;
}
}
String SQLQuery1 = insert into Article values('" + Txtname.Text + "','" + TxtNo.Text + "','" + Txtdescription.Text + "' ,0)");
DBconnection dbConn = new DBconnection();
SqlDataReader Dr = dbConn.insertQuery(SQLQuery1);
在不使用文本框输入的情况下使用@name、@No和@description。如何代替通用的InsertQuery()方法编写特定的InsertQuery方法 例如:
public void AddNewUser(User u)
{
var query = "insert Users (name, password) values (@0, @1)";
SqlCommand cmd = new SqlCommand(query, conn);
try
{
cmd.Parameters.AddWithValue("@0", u.UserName);
cmd.Parameters.AddWithValue("@1", u.Password);
}
}
AddUserUpdateUserChangePassworddatabase.Insert(u);
其中u是映射到数据库表的用户对象。它使用ADO.NET并确保使用SQL参数。我建议使用LINQ to SQL,这是一个很好的例子 如何保护LINQ到SQL免受SQL注入攻击 答:SQL注入对于通过连接用户输入形成的传统SQL查询来说是一个重大风险。LINQtoSQL通过在查询中使用SqlParameter避免了这种注入。用户输入将转换为参数值。此方法可防止从客户输入中使用恶意命令 您可以使用
DataContextLINQ to SQL classUserData user = new UserData();
user.Username = ...;
user.Password = ...;
user.Role = ...;
user.Membership = ...;
user.DateOfReg = ...;
db.UserDatas.InsertOnSubmit(user);
db.SubmitChanges();
var user = (from i in db.UserDatas
where i.UserName == "devan"
select i).Single();
哦,这是我回答关于数据库登录信息的问题时的标准策略,我必须恳求你,看在上帝的份上,以及所有神圣的事情上。这样做是完全合理的,但是让你的类回调(lambda/委托)来获取参数。这是由各种重载实例方法调用的类中的静态方法:
private static int SqlExec(string ConnectionString, string StoredProcName, Action<SqlCommand> AddParameters, Action<SqlCommand> PostExec)
{
int ret;
using (var cn = new SqlConnection(ConnectionString))
using (var cmd = new SqlCommand(StoredProcName, cn))
{
cn.Open();
cmd.CommandType = CommandType.StoredProcedure;
if (AddParameters != null)
{
AddParameters(cmd);
}
ret = cmd.ExecuteNonQuery();
if (PostExec != null)
{
PostExec(cmd);
}
}
return ret;
}
DBconnection.InsertQuery(
"INSERT INTO [UserData]
(Username, Password, Role, Membership, DateOfReg)
VALUES (@Username, @Password, @Role, @Membership, @DateOfReg)"
,cmd => {
cmd.Parameters.AddWithValue("Username", usernameTB.Text);
cmd.Parameters.AddWithValue("Password", passwordTB.Text);
cmd.Parameters.AddWithValue("Role", roleTB.Text);
cmd.Parameters.AddWithValue("Membership", membershipTB.Text);
cmd.Parameters.AddWithValue("DateOfReg", dorTB.Text);
}
);
这将按照您希望的方式将所有数据库内容放在一起,并使数据库连接保持其内部隔离。谢谢。这是我的工作,这是我在寻找的。:)
DBconnection.InsertQuery(
"INSERT INTO [UserData]
(Username, Password, Role, Membership, DateOfReg)
VALUES (@Username, @Password, @Role, @Membership, @DateOfReg)"
,cmd => {
cmd.Parameters.AddWithValue("Username", usernameTB.Text);
cmd.Parameters.AddWithValue("Password", passwordTB.Text);
cmd.Parameters.AddWithValue("Role", roleTB.Text);
cmd.Parameters.AddWithValue("Membership", membershipTB.Text);
cmd.Parameters.AddWithValue("DateOfReg", dorTB.Text);
}
);