- 影响IIS性能的几个因素(3)
- XML DOM介绍和例子(三)
- Web应用中缓存的七种武器
- SQL数据操作基础(中级) 8
- ASP日历 实现遍历数据库取出对应的年月日数据
- 影响IIS性能的几个因素(2)
- 用ASP随机生成文件名的函数
- asp+ 如何跨站抓取页面
- 在ASP中使用简单Java类
- Delphi编写组件封装asp代码的基本步骤
- ASP分页函数、分页导航
- 下拉菜单输入,根据输入内容自动定位
- [视频教程]Dreamweaver与ASP动态网页设计教程 - 第三章 Dreamweaver应用之5 表格1
- ASP二进制流方法隐藏图片文件真实地址
- ASP + Serv-u 实现FTP的代码
- 扩展的ToolStripEx控件
- 用Agent+ASP技术制作语音聊天室
- ASP中Cookie使用指南
- 用排序串字段实现树状结构(存储过程)
- 中文虚拟域名实现(1) (环境:中文NT)
- 维护ASP的会话状态
- 使用ASP程序对“HTML炸弹”进行屏蔽
- Create ajax
- ASP中操作UTF-8格式的文件
- 使用ASP建设私人搜索引擎
- asp缓存技术,提高asp承载能力
- 用DataList控件开发一个简单的留言本程序
- 改进性能和样式的 25+ ASP 技巧(4)
- ASP使用FCKEditor的设置技巧
- Asp.net Ajax,Jquery,ExtJs 三种Ajax技术框架比较
怎么样写一段高效,安全的sql查询代码
作者:佚名 ASP网站建设编辑:admin 更新时间:2022-07-23
看一看这段代码,让我们来看看主要存在的问题
//设置SQL语句
insertstr="insert into userinfo(name,passWord,email,phone,mobile,post,address) VALUES(''";
insertstr += this._name.Trim()
;+ "'',''";
insertstr += this._password.Trim() +"'',''";
insertstr += this._email.Trim() +"'',''";
insertstr += this._phone.Trim() +"'',''";
insertstr += this._mobile.Trim() +"'',''";
insertstr += this._post.Trim() +"'',''";
insertstr += this._address.Trim() +"'')";
1、效率问题
首先看看上边这段代码,效率太低了,这么多的字符串连接本身效率就够低的了,再加上这么些trim(),完全没有必要。
2、正确性问题
这段代码太脆弱,一个单引号就可以使整个程序崩溃。
3、安全性
同上,利用单引号我可以做很多事,比如运行个xp_cmd命令,那你就惨了,呵呵。
那么,怎样来写呢,上面这段代码可以改成这样:
string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 , @c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20)
myCommand.Parameters["@c1"].Value = this._Name ;
....
//有几个加几个
....
}
catch(...)
...
这样呢,既可以避免低效率的字符串连接,又可以利用sqlcommand参数有效性检测来避免非法字符的出现,并且由于这种parameter方式是预编译的,效率更高。
一举数得,何乐而不为呢。
//设置SQL语句
insertstr="insert into userinfo(name,passWord,email,phone,mobile,post,address) VALUES(''";
insertstr += this._name.Trim()
;+ "'',''";
insertstr += this._password.Trim() +"'',''";
insertstr += this._email.Trim() +"'',''";
insertstr += this._phone.Trim() +"'',''";
insertstr += this._mobile.Trim() +"'',''";
insertstr += this._post.Trim() +"'',''";
insertstr += this._address.Trim() +"'')";
1、效率问题
首先看看上边这段代码,效率太低了,这么多的字符串连接本身效率就够低的了,再加上这么些trim(),完全没有必要。
2、正确性问题
这段代码太脆弱,一个单引号就可以使整个程序崩溃。
3、安全性
同上,利用单引号我可以做很多事,比如运行个xp_cmd命令,那你就惨了,呵呵。
那么,怎样来写呢,上面这段代码可以改成这样:
string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 , @c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20)
myCommand.Parameters["@c1"].Value = this._Name ;
....
//有几个加几个
....
}
catch(...)
...
这样呢,既可以避免低效率的字符串连接,又可以利用sqlcommand参数有效性检测来避免非法字符的出现,并且由于这种parameter方式是预编译的,效率更高。
一举数得,何乐而不为呢。
- 上一篇文章: 用Js判断输入的时间是否有效
- 下一篇文章: 关于Adodb.Stream的使用说明