第6课 向命令中添加参数(防黑客)(翻译).doc

第六课 向命令中添加参数(防黑客) 这节课介绍了如何在命令中使用参数,下面是本节课的目标: 了解parameter参数是什么 理解使用parameter的好处 学习如何创建parameter 学习如何将parameter赋值给命令 介绍 当操作数据的时候,你通常需要基于某些标准来过滤结果.通常,这些都由从用户处得到的输入和使用输入构成的SQL查询语句实现的.比如,一个商人需要查看在特定的日期之间的所有订单.另外的查询可能通过城市来过滤用户. 正如你所知道的,SQL查询语句赋值给一个SqlCommand对象只是一个简单的字符串.所以你可能想要过滤一个查询,可以动态的绑定字符串,但是你本来不想这样做,下面是一个过滤查询的坏的示例: string inputCity = 北京; // 千万不要样做 SqlCommand cmd = new SqlCommand(select * from Customers where city = + inputCity + ) 千万不要以这种方式创建查询!输入变量inputCity通常都是从一个Windows Form上或者Web页面上的TextBox控件得到输入.任何在TextBox控件中的东西将直接存入inputCity并添加到你的SQL字符串中.黑客可以使用恶意的代码来替换这串字符串,更糟糕的是,他能够进而控制你的计算机. 作为对上面糟糕的例子使用动态创建字符串的替代，使用parameters。任何放置在parameter中的东西都将被作为字段数据对待，而不是SQL语句的一部分，这样就让你的应用程序更加安全。 使用参数化查询是下面三步过程： 1．使用parameters构建SqlCommand命令字符串 2．声明SqlParameter对象，将适当的值赋给它 3. 将SqlParameter对象赋值给SqlCommand对象的Parameters属性 下面的章节将一步一步介绍这个过程 为Parameters准备SqlCommand对象 在SQL查询中使用Parameters的第一步是创建包含参数占位符的对象字符串。这些占位符在SqlCommand执行的时候填充实际的参数值。Parameter的正确的语法是使用一个’@’符号作为参数名的前缀，如下所示： // 1. 声明带参数的命令对象 SqlCommand cmd = new SqlCommand( select * from Customers where city = @City, conn); 在上面的SqlCommand构造函数中，第一个参数包含一个参数声明，@City。这个例子使用一个参数，但是你能够根据需要为查询定制需要的参数。每一个参数匹配一个SqlParameter对象，它必须被分配给此SqlCommand对象 声明一个SqlParameter对象 在SQL语句中的每一个参数必须被定义。这是SqlParameter类型的需要。你的代码必须为每一个在SqlCommand对象的SQL命令中的参数定义一个SqlParameter实体。下面的代码为前面一节中的@City参数定义了参数。 // 2. 在命令中使用定义对象参数 SqlParameter param = new SqlParameter(); param.ParameterName = @City; param.Value = inputCity; 注意SqlParameter实体的ParameterName属性必须和SqlCommand SQL命令字符串中的使用的参数一致。你必须同样为此值赋值。当SqlCommand对象执行的时候，此参数将被被它的值替换 将SqlParameter对象和SqlCommand对象关联 对于每一个定义在SqlCommand对象中的SQL命令字符串参数，你必须定义一个SqlParameter。你必须同样将SqlParameter实体赋值给SqlComamd对象的Parameters属性的方式让SqlCommand对象知道SqlParameter。下面的代码展示了如何做： // 3. 添加新的参数的命令对象 cmd.Parameters.Add(param); SqlParameter实体是作为SqlCommand对象的Parameters属性的Add方法中的参数的。你必须为每一个定义在SqlCommand对象的SQL命令字符串中的参数添加一个单独的SqlParameter 组合 你已经知道了如何使用SqlCommand和SqlDataReader对象。下面的代码说明了一个