当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > 学习asp.net之SQL语句查询效率和安全性

ASP.NET
使用函数传递参数来执行相应的数据库操作
如何实现在窗体和窗体之间进行传递数据
ASP.NET中文显示之两种解决方法
ASP.NET、JSP及PHP之间的抉择
ASP.NET 2.0发送电子邮件中存在的问题
谈谈HtmlControl与WebControl的区别与用途
从ASP.NET 1.1升级到ASP.NET 2.0要考虑的Cookie问题
通过系统配置来提高ASP.NET应用程序的稳定性
妙用ASP2.0中的URL映射改变网址
AJAX实现web页面中级联菜单的设计
ASP.NET跨页面传值技巧总结
再议ASP.NET DataGrid控件中的“添加新行”功能
Geometry 对象浅析
重构CollapsibleSplitter
如何利用.NET Framework使用RSS feed
ASP.NET获取IP与MAC地址的方法
在ASP.NET 2.0中使用样式、主题和皮肤
ASP.NET中为GridView添加删除提示框
ASP.NET 2.0,无刷新页面新境界
看看一个.net版对话框控件

ASP.NET 中的 学习asp.net之SQL语句查询效率和安全性


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-08-14   浏览: 61 ::
收藏到网摘: n/a

看一看这段代码,让我们来看看主要存在的问题

以下为引用的内容:

//设置SQL语句

insertstr="insert into userinfo(name,password,email,phone,mobile,post,address)
VALUES(``";
insertstr += this._name.Trim()
;+ "``,``";
insertstr += this._password.Trim() +"``,``";
insertstr += this._email.Trim() +"``,``";
insertstr += this._phone.Trim() +"``,``";
insertstr += this._mobile.Trim() +"``,``";
insertstr += this._post.Trim() +"``,``";
insertstr += this._address.Trim() +"``)";

1、效率问题

首先看看上边这段代码,效率太低了,这么多的字符串连接本身效率就够低的了,再加上这么些trim(),完全没有必要。

2、正确性问题

这段代码太脆弱,一个单引号就可以使整个程序崩溃。

3、安全性

同上,利用单引号我可以做很多事,比如运行个xp_cmd命令,那你就惨了,呵呵。

那么,怎样来写呢,上面这段代码可以改成这样:

以下为引用的内容:

string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 ,
@c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20)
myCommand.Parameters["@c1"].Value = this._Name ;
....
//有几个加几个
....
}
catch(...)
...

这样呢,既可以避免低效率的字符串连接,又可以利用sqlcommand参数有效性检测来避免非法字符的出现,并且由于这种parameter方式是预编译的,效率更高。