C# 插入/更新发送参数有什么好处?
我是数据库新手,正在使用Access 2007数据库和C进行销售。我有以下方法:C# 插入/更新发送参数有什么好处?,c#,ms-access-2007,oledb,insert-update,oledbcommand,C#,Ms Access 2007,Oledb,Insert Update,Oledbcommand,我是数据库新手,正在使用Access 2007数据库和C进行销售。我有以下方法: public static OleDbCommand connect() { try { string path = System.Environment.GetEnvironmentVariable("USERPROFILE"); string cadena = @"Provider=Microsoft.ACE.OLEDB.12.0;Data Source="+
public static OleDbCommand connect()
{
try
{
string path = System.Environment.GetEnvironmentVariable("USERPROFILE");
string cadena = @"Provider=Microsoft.ACE.OLEDB.12.0;Data Source="+path+@"\Documents\VikingPOS.accdb";
conexion = new OleDbConnection(cadena);
conexion.Open();
command = new OleDbCommand();
command = conexion.CreateCommand();
return command;
}
catch (OleDbException e)
{
MessageBox.Show("Error: {0}", e.Errors[0].Message);
return null;
}
}
OleDbCommand link = Conexion.connect();
link.CommandText = "UPDATE ordenes SET subtotal = " + subtotal + ",impuesto = " + impuesto + ",total = " + total + " WHERE id_mesa = " + id_mesa + " AND id_estado = 1";
link.ExecuteNonQuery();
using (OleDbConnection myCon = new OleDbConnection(connectionString))
{
try
{
OleDbCommand cmd = new OleDbCommand();
cmd.CommandType = CommandType.Text;
cmd.CommandText = "UPDATE ingredientes SET [descripcion]=?,[id_medida]=?,[id_categoria]=?,[costo]=?,[impuesto]=?,[precio_venta]=?,[existencia]=?,[fecha_insert]=? WHERE [id_ingrediente]=?";
cmd.Parameters.AddWithValue("@descripcion", p.getNombre());
cmd.Parameters.AddWithValue("@id_medida", p.getId_medida());
cmd.Parameters.AddWithValue("@id_categoria", p.getId_categoria());
cmd.Parameters.AddWithValue("@costo", p.getCosto());
cmd.Parameters.AddWithValue("@impuesto", p.getImpuesto());
cmd.Parameters.AddWithValue("@precio_venta", p.getPrecio_venta());
cmd.Parameters.AddWithValue("@existencia", p.getExistencia());
cmd.Parameters.AddWithValue("@fecha_insert", fechaHoy);
cmd.Parameters.AddWithValue("@id_ingrediente", p.getId());
cmd.Connection = myCon;
myCon.Open();
int x = cmd.ExecuteNonQuery();
...
String cmd = "UPDATE ingredientes SET [descripcion]=?";
TextBox value = > "xyz;delete * from Users;"
String cmd="UPDATE ingredientes SET [descripcion]=xyz;delete * from Users;";
TextBox value = > "xyz;delete * from Users;"
String cmd="UPDATE ingredientes SET [descripcion]=xyz;delete * from Users;";
3代码是可变的一个主要好处是它可以保护您免受SQL注入攻击 例如,如果我在nombre字段中输入Bobby';升降台安全装置;-。如果未正确清理输入,可能会丢失整个表,具体取决于权限
因此,如果您只使用参数化查询,您将得到更好的保护,而不必为每个输入提供自己的卫生例程。一个主要好处是它可以保护您免受SQL注入攻击 例如,如果我在nombre字段中输入Bobby';升降台安全装置;-。如果未正确清理输入,可能会丢失整个表,具体取决于权限
因此,如果您只是简单地使用参数化查询,您将得到更好的保护,而不必为每个输入提供自己的卫生例程。您的问题是,为什么要添加参数,而不是简单地生成OLE DB字符串并形成SQL查询。对吧? 使用字符串连接生成查询的问题是:SQL注入。如果您正在为多个用户或网页制作代码。然后,您必须使用Parameters.Addvalue方法来提高安全性。此外,Parameters.Add values对程序员来说更直观。但是如果它只是一个很少有人参与的小项目,那么它完全可以使用
如果我错了,请告诉我 您的问题是,为什么要添加参数,而不是简单地生成OLE DB字符串并形成SQL查询。对吧? 使用字符串连接生成查询的问题是:SQL注入。如果您正在为多个用户或网页制作代码。然后,您必须使用Parameters.Addvalue方法来提高安全性。此外,Parameters.Add values对程序员来说更直观。但是如果它只是一个很少有人参与的小项目,那么它完全可以使用
如果我错了,请告诉我 谢谢大家!!您的回答非常清楚,我没有想到我确实想避免的那种可能性。@user3312437:不客气,亲爱的:,我很高兴能为您提供帮助。谢谢!你的回答非常清楚,我没有想到我一定要避免的那种可能性。@user3312437:不客气,亲爱的:,我很高兴能得到你的帮助。是的,你说得对,谢谢你的回答,我想知道我是否应该把改变插入和更新信息的方式作为我的首要任务,但是,由于这不是一个web项目,不会被许多用户使用,而且用户也没有编程知识,我不认为这将是一个短期问题,所以我将暂时保持现状,并在将来对其进行改进。再次感谢你。是的,你说得对,谢谢你的回答,我想知道我是否应该把改变我插入和更新信息的方式作为我的主要优先事项,但由于这不是一个web项目,不会被许多用户使用,而且用户也不具备编程知识,我认为这不会成为一个问题 这是一个短期的问题,所以我现在就不做了,将来我会改进它。再次感谢你。