关于拼接SQL串的一点建议

老毕 2012-02-28 12:02:52

经常能看见一些朋友发帖求助，问自己的某个SQL查询或者命令为何没有正确执行，最终的结果除了连接故障，多数是传入的SQL串出了问题。所以简单地提一提自己的看法，希望对此能有所帮助。

首先，建议使用Parameter传入，而不要拼接SQL字符串，这样可以有效防止SQL注入。

var id = 5;

var strQuery = @"SELECT Id, Amount FROM Orders WHERE Id = @Id";

var cmdQuery = new SqlCommand(strQuery, connection);

cmdQuery.Parameters.Add("@Id", id);

如果实在不喜欢Parameter传入，那么拼接SQL字符串时，也尽量使用string.Format()实现。利用占位符{x}代替你要传递的参数，这样方便阅读和修改。

var id = 5;

var strPattern = @"SELECT Id, Amount FROM Orders WHERE Id = {0}";

var strQuery = string.Format(strPattern, id);

var cmdQuery = new SqlCommand(strQuery, connection);

...全文

181 14 打赏收藏转发到动态举报

写回复

用AI写文章

14 条回复

切换为时间正序

请发表友善的回复…

发表回复

wslfriend 2012-02-28

打赏
举报

受教了谢谢

EnForGrass 2012-02-28

打赏
举报

[Quote=引用 6 楼 abbey 的回复:]

虽然只是一些微不足道的小知识，但是对于string操作而言，类似" "+" "这样的方法实在是太不优雅了，同时也增加了阅读的难度。
[/Quote]
我也有同感，一两个字段我可以忍。但是字段多的话，我忍无可忍

老毕 2012-02-28

打赏
举报

虽然只是一些微不足道的小知识，但是对于string操作而言，类似" "+" "这样的方法实在是太不优雅了，同时也增加了阅读的难度。

q107770540 2012-02-28

打赏
举报

http://blog.csdn.net/q107770540/article/details/5724013

SQL77 2012-02-28

打赏
举报

[Quote=引用 1 楼 abbey 的回复:]
而对于连接串ConnectionString，除了通常保存于app.config或者web.config中以外，在代码中需要自己构造时，.NET其实也为我们提供了一定的帮助。

在System.Data.Common命名空间，有一个类DbConnectionStringBuilder，可以帮助我们通过属性设置，构造我们需要的连接串。其中，SQL Server有特供版本。
链接：……
[/Quote]
学习。。

EnForGrass 2012-02-28

打赏
举报

复习一下啊

vinoYang 2012-02-28

打赏
举报

受教了，虽然都知道。。。。。。。。。。

老毕 2012-02-28

打赏
举报

[b]而[/b]对于连接串ConnectionString，除了通常保存于app.config或者web.config中以外，在代码中需要自己构造时，.NET其实也为我们提供了一定的帮助。

在System.Data.Common命名空间，有一个类DbConnectionStringBuilder，可以帮助我们通过属性设置，构造我们需要的连接串。其中，SQL Server有特供版本。
链接：DbConnectionStringBuilder 类
连接字符串生成器 (ADO.NET)