个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
SqlCommand.Parameters.AddWithValue() 对查询做了哪些更改?
我希望:
它将每个 ' 字符替换为 '',
如果参数值是字符串或必须转换为字符串的内容,则会用 ' 包围该值,例如 select * from A where B = @hello 将给出 select * from A where B = 'hello world'。
如果参数值是像整数这样的“安全”值,它将按原样插入查询中,不带引号,因此 select * from A where B = @one 会给出从 A 中选择 *,其中 B = 1。
还有其他我不知道的变化吗?
最佳答案
ADO.NET SqlClient 驱动程序将不会进行任何替换!这是一个常见的误解 - 它避免了更换任何东西的麻烦。
它的作用是将带有参数@param1 ... @paramN的查询以及参数名称/值对的集合直接传递到SQL Server。然后,SQL Server 使用 sp_executesql 存储过程执行这些操作。
没有进行任何替换,客户端也没有“将完整的 SQL 语句串在一起”——没有类似的事情。如果这就是 ADO.NET 运行时所做的事情,那么它也很容易受到 SQL 注入(inject)攻击。
关于.net - SqlCommand.Parameters.AddWithValue 到底做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3243194/
27
4
0
在 http://dev.mysql.com/doc/refman/5.5/en/connector-net-programming-prepared.html 的示例代码中,有代码(每次执行:迭代中
您好,我发现了这个在 C# 中向 MySQL 命令添加值的代码片段 MySqlCommand command = connection.CreateCommand(); command.Command
我正在尝试让我的提交按钮插入输入到几个文本框和一个隐藏字段中的数据。现在,它给我一个错误,指出名称“txtComments”、“txtName”和“datePosted”在当前上下文中不存在。我相对确
所以让我首先声明,我知道还有其他问题涉及相同的问题——我已经阅读了其中的大部分内容并尝试了不同的东西……没有任何效果……所以请不要因为“重复”而关闭"因为那些不是为我工作。 我还使用 Postgres
我有如下一段代码 cmd.CommandText = "SELECT * FROM product WHERE name LIKE '%@pattern%' OR description LIKE '
我有这个代码 MySQL_Query = "UPDATE `owner_info` " _ & "SET first_name=" & first_name _ & ", la
尝试运行 SQL 查询时,我被告知使用参数来避免 SQLInjection。所以我在玩参数化查询。但事情并没有那么顺利。 这是我的代码: using (_cmd = _connection.Creat
我正在寻找一种简单的单行代码来在 SqlClient 命名空间中完成以下操作,以节省键入所有 if-else 语句的时间。假设: Dim cmd As New SqlCommand("MyStored
我正在尝试对 MySQL 使用参数化查询。这个理论看起来很简单,您可以像这样创建一个 MySqlCommand 类的新实例: MySqlCommand command = new MySqlComma
这个问题在这里已经有了答案: Difference with Parameters.Add and Parameters.AddWithValue (4 个答案) 关闭 8 年前。 什么时候应该使用
我正在构建一个 sqlwrapper 来处理 MSsql 和 Sqlite,到目前为止,我使用通用 dbconnection、数据集和 dataadapter 没有问题,但是使用 dbcommand
SqlCommand.Parameters.AddWithValue() 对查询做了哪些更改? 我希望: 它将每个 ' 字符替换为 '', 如果参数值是字符串或必须转换为字符串的内容,则会用 ' 包围
我在使用参数保存记录时遇到问题以下是我的代码 try { string usd = "USR" + randomnumber(001, 1000).ToString(); dbconn
我目前正在编写一个类来处理我的应用程序中的所有数据库事件,因此我找到了执行更新查询的方法。 截至目前,我正在返回并显示命令文本的内容以进行检查,看起来不错: UPDATE news SET title
我现在正在使用 C# 和 MySQL。我试图在互联网上搜索一天,以找出为什么我不能使用 AddWithValue 方法添加 unicode 字符,因为当我在 MySQL 中手动添加它时,它可以工作!但
我正在对我的 SqlCommand 变量使用 Parameters.AddWithValue。 我可以通过说将输出转储到文本框 tb.Text = command.CommandText.ToStri
我认为这很简单,但是有没有一种方法可以在值为 null 时使用 Isnull(field,[something])? /*************Connectionstring is located
我的代码如下: if (!string.IsNullOrEmpty(Mpdue.TheObjectPropertyNameNs)) { string sql = @String.Format(
C# 中的以下查询不起作用,但我看不出问题所在: string Getquery = "select * from user_tbl where emp_id=@emp_id and birthdat
我有以下代码用于指定 SQL 查询的参数。当我使用 Code 1 时出现以下异常;但是当我使用 Code 2 时工作正常。在 Code 2 中,我们有一个 null 检查,因此有一个 if..else
我是一名优秀的程序员,十分优秀!