程序博客网 > 把多个excel表数据合并

SqlParameter参数化查询

来源:互联网 发布:把多个excel表数据合并 编辑:程序博客网 时间:2024/05/17 09:43

     上篇博客写了关于重构代码用到的SQLHelper类,这个类包括四种函数,根据是否含参和是否有返回值各分两种。在这里写写传参过程用到的SqlParameter

     如果我们使用如下拼接sql字符串的方式进行数据库操作存在脚本注入的危险:

 

        Dim sql As String = "insert into T_Loginlog(userID,loginDate,loginTime,computer)values('" + Enloginlog.user_userID + "','" & Enloginlog.user_loginDate & "','" & Enloginlog.user_loginTime & "','" & Enloginlog.user_computer & "')"

为了防止SQL注入,我们采用参数化查询的方式。执行带参数的sql增删改语句或存储过程的函数如下:

 ''' <summary>    ''' 执行带参数的sql增删改语句或存储过程    ''' </summary>    ''' <param name="cmdtext">增删改语句或存储过程</param>    ''' <param name="cmdtype">命令类型文本或存储过程</param>    ''' <param name="paras">参数数组</param>    ''' <returns>受影响的行数</returns>    ''' <remarks></remarks>    Public Function ExecuteNonQueryCan(ByVal cmdtext As String, ByVal cmdtype As CommandType, ByVal paras As SqlParameter()) As Integer        Dim conn = GetConn()        Dim cmd As SqlCommand = New SqlCommand(cmdtext, conn)        Dim res As Integer        cmd.CommandType = cmdtype        cmd.Parameters.AddRange(paras)        Try            res = cmd.ExecuteNonQuery()        Catch ex As Exception            MsgBox(ex.Message, , "数据库操作")        Finally            If conn.State = ConnectionState.Open Then                conn.Close()            End If        End Try        Return res    End Function

    在这里定义了cmdtext(以sql语句为例)、cmdtypeparas,在DAL层调用sqlhelper时,只需传入相应的参数即可。其中,paras参数部分构成如下:

 ''' <summary>    ''' 定义一个函数在用户输入用户名密码正确并登录时将登录信息记录到T_Login正在值班教师表中    ''' </summary>    ''' <param name="Enlogin">T_Login表所对应的实体</param>    ''' <returns></returns>    ''' <remarks></remarks>    Public Function InsertIntoTLogin(ByVal Enlogin As Entity.EnLogin) As Boolean        Enlogin.user_computer = System.Environment.MachineName        Enlogin.user_loginDate = DateString        Enlogin.user_loginTime = TimeOfDay        Dim sql As String = "insert into T_Login(userID,loginDate,loginTime,computer)values(@userID,@loginDate,@loginTime,@computer)"        Dim paras As SqlParameter() = {New SqlParameter("@userID", Enlogin.user_userID),                                       New SqlParameter("@loginDate", Enlogin.user_loginDate),                                       New SqlParameter("@loginTime", Enlogin.user_loginTime),                                       New SqlParameter("@computer", Enlogin.user_computer)}        Dim sh As SQLHelper = New SQLHelper        If sh.ExecuteNonQueryCan(sql, CommandType.Text, paras) > 0 Then            Return True        Else            Return False        End If    End Function

   说到底还是封装的思想,我们将可能输入有误的地方以参数的形式固定下来,通过传参很好的解决了这个问题。

把多个excel表数据合并 把多个excel表数据合并
原创粉丝点击
热门IT博客
优化win7系统运行速度优化win7系统运行速度
制作电子地图的软件制作电子地图的软件
猪八戒软件开发 知乎
魔兽世界数据库7.0.3
苹果6手机4g网络连不了
手机数据恢复免费
淘宝男鞋休闲鞋
刘烨的演技 知乎
metinfo seo
什么值得买登录源码
深圳工勘岩土集团知乎
win10怎么禁止安装软件
什么是淘宝刷客
js让按钮失效
学汉语拼音的软件
淘宝企业店铺登陆
linux中文乱码问题
python获取股票数据
mac命令行自动补全
淘宝云购源码能买吗
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 筏上生存 筏形基础 筏怎么读 筏竿 桥筏鲫鱼钓底线组图解 筏田优 筏板基础平面图详解 筏竿安装一步一步图片 羊皮筏子 筏钓江湖 梅杜萨之筏 筏板基础钢筋布置 微铅筏钓线组图解 筏竿使用方法 筏钓轮 羊皮筏 筏钓线组 筏板钢筋长短向怎么放 筏钓线组图解 筏板基础图片 桥筏 筏钓竿 筏钓竿使用方法 筏钓技巧 家庭宝筏txt下载 筏竿线组怎么绑图解 筏钓鲫鱼 筏上生存中文版 筏钓杆稍 小筑 美签面试小陷阱 便签桌面小工具 小篆 小篆作品 小篆图片 方正小篆体 杨小篆字体 梅花小篆 小篆怎么写 字体小篆

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里