教您使用参数化SQL语句-常用sql语句

SQL语句的使用非常灵活，通过各种SQL语句，可以实现不同功能的操作，下面将为您介绍参数化SQL语句，供您参考，希望对您有所帮助。

SQL注入的方法有两种：

一是所有的SQL语句都存放在存储过程中，这样不但可以避免SQL注入，还能提高一些性能，并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理，不过这种做法有时候针对相同的几个表有不同条件的查询，SQL语句可能不同，这样就会编写大量的存储过程，所以有人提出了第二种方案：参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户，那么通常情况下我们的SQL语句可能是这样：

    
            1
            select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供，对于上面的查询，我们用参数化SQL语句表示为：

    
            1
            select * from UserInfo where sex=@sex

再对代码中对这个SQL语句中的参数进行赋值，假如我们要查找UserInfo表中所有年龄大于30岁的男性用户，这个参数化SQL语句可以这么写：

    
            1
            select * from UserInfo where sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码：

    
            01
            //实例化Connection对象  
        
            02
            SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=''");  
        
            03
            //实例化Command对象  
        
            04
            SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection);  
        
            05
            //***种添加查询参数的例子  
        
            06
            command.Parameters.AddWithValue("@sex", true);  
        
            07
            //第二种添加查询参数的例子  
        
            08
            SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的  
        
            09
            parameter.Value = 30;  
        
            10
            command.Parameters.Add(parameter);//添加参数  
        
            11
            //实例化DataAdapter  
        
            12
            SqlDataAdapter adapter = new SqlDataAdapter(command);  
        
            13
            DataTable data = new DataTable();
        
#p#

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库，那么对应的参数化SQL语句及参数分别如下：

数据库	Access	MySQL	Oracle
SQL语句	select * from UserInfo where sex=? and age>?	select * from UserInfo where sex=?sex and age>?age	select * from UserInfo where sex=:sex and age>:age
参数	OleDbParameter	MySqlParameter	OracleParameter
实例化参数	OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean);	MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit);	OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值	p.Value=true;	p.Value=1;	p.Value=1;

通过上面的实例代码我们可以看出尽管SQL语句大体相似，但是在不同数据库的特点，可能参数化SQL语句不同，例如在Access中参数化SQL语句是在参数直接以“?”作为参数名，在SQL Server中是参数有“@”前缀，在MySQL中是参数有“?”前缀，在Oracle中参数以“:”为前缀。
注意：因为在Access中参数名都是“?”，所以给参数赋值一定要按照列顺序赋值，否则就有可能执行出错。

Command对象传参效率测试

在.net平台，普通的insert语句有两种写法，不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2)，它们的执行效率如何呢？
做了个试验，代码如下：(数据库是oracle)

    
            01
            public partial class WebForm1 : System.Web.UI.Page 
        
            02
                { 
        
            03
                    protected void Page_Load(object sender, EventArgs e) 
        
            04
                    { 
        
            05
                        //test1(); 
        
            06
                        test2(); 
        
            07
                    } 
        
            08
                    private void test1() 
        
            09
                    { 
        
            10
                        OracleConnection con = new OracleConnection(); 
        
            11
                        con.ConnectionString = "Data Source=oracl;User Id=xxx;Password=xxx;Persist Security Info=True;"; 
        
            12
                        System.Random r = new Random((int)System.DateTime.Now.Ticks); 
        
            13
                        string strCommand = "insert into test(c1,c2) values({0},{1})"; 
        
            14
                        OracleCommand com = new OracleCommand(); 
        
            15
                        com.Connection = con; 
        
            16
                        con.Open(); 
        
            17
                        DateTime dt = DateTime.Now; 
        
            18
                        Label1.Text = "不传参:"+DateTime.Now.ToLongTimeString(); 
        
            19
                        for (int i = 0; i < 50000; i++) 
        
            20
                        { 
        
            21
              
#p#

            22
                            com.CommandText = string.Format(strCommand, r.Next(), r.Next()); 
        
            23
                            com.ExecuteNonQuery(); 
        
            24
                        } 
        
            25
                        com.CommandText = "truncate table test"; 
        
            26
                        com.ExecuteNonQuery(); 
        
            27
                        con.Close(); 
        
            28
                        Label2.Text = DateTime.Now.ToLongTimeString(); 
        
            29
                    } 
        
            30
                    private void test2() 
        
            31
                    { 
        
            32
                        OracleConnection con = new OracleConnection(); 
        
            33
              
            34
                        con.ConnectionString = "Data Source=bocodb;User Id=hljyd;Password=hljyd;Persist Security Info=True;"; 
        
            35
                        System.Random r = new Random((int)System.DateTime.Now.Ticks); 
        
            36
                        string strCommand = "insert into test(c1,c2) values(:c1,:c2)"; 
        
            37
                        OracleCommand com = new OracleCommand(); 
        
            38
                        com.Parameters.Add(":c1", OracleType.Number); 
        
            39
                        com.Parameters.Add(":c2", OracleType.Number); 
        
            40
                        com.CommandText = strCommand; 
        
            41
                        com.Connection = con; 
        
            42
                        con.Open(); 
        
            43
                        Label1.Text = "传参:"+DateTime.Now.ToLongTimeString(); 
        
            44
                        for (int i = 0; i < 50000; i++) 
        
            45
                        { 
        
            46
                            com.Parameters[":c1"].Value = r.Next(); 
        
            47
                            com.Parameters[":c2"].Value = r.Next(); 
        
            48
                              
            49
                            com.ExecuteNonQuery(); 
        
            50
                        } 
        
            51
                        com.Parameters.Clear(); 
        
            52
                        com.CommandText = "truncate table test"; 
        
            53
                        com.ExecuteNonQuery(); 
        
            54
                        con.Close(); 
        
            55
                        Label2.Text = DateTime.Now.ToLongTimeString(); 
        
            56
                    } 
        
            57
                }

执行结果：
10000记录：
不传参数?5:46:19 15:46:34 15秒
传参数：??5:50:51 15:51:01 10秒

50000记录：
不传参数 16:09:03 16:10:24 81秒
传参数：：16:15:43 16:16:36 53秒
这只是2个参数的情况，如果参数很多会不会影响更大呢？

10000记录，7个参数：
不传参数：17:11:01 17:11:18 17秒
传参数：17:13:46 17:13:59 13秒
50000记录：7个参数：
不传参数：17:19:02 17:20:25 1分23秒
传参数：17:15:09 17:16:10 1分1秒

需要相差不大，但是向command对象传递参数既可以避免sql注入问题，也可以提高性能。

【编辑推荐】