学习asp.net之SQL语句查询效率和安全性

欢迎您访问我爱IT技术网，今天小编为你分享的编程技术是：【学习asp.net之SQL语句查询效率和安全性】，下面是详细的分享！

学习asp.net之SQL语句查询效率和安全性

看一看这段代码，让我们来看看主要存在的问题

以下为引用的内容： //设置SQL语句 insertstr="insert into userinfo(name,password,email,phone,mobile,post,address) VALUES(``"; insertstr +=this._name.Trim() ;+ "``,``"; insertstr +=this._password.Trim() +"``,``"; insertstr +=this._email.Trim() +"``,``"; insertstr +=this._phone.Trim() +"``,``"; insertstr +=this._mobile.Trim() +"``,``"; insertstr +=this._post.Trim() +"``,``"; insertstr +=this._address.Trim() +"``)";

1、效率问题

首先看看上边这段代码，效率太低了，这么多的字符串连接本身效率就够低的了，再加上这么些trim()，完全没有必要。

2、正确性问题

这段代码太脆弱，一个单引号就可以使整个程序崩溃。

3、安全性

同上，利用单引号我可以做很多事，比如运行个xp_cmd命令，那你就惨了，呵呵。

那么，怎样来写呢，上面这段代码可以改成这样：

以下为引用的内容： string strSql="insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 , @c3,...)" SqlCommand myCommand=new SqlCommand(strSql , myConn) try { myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20) myCommand.Parameters["@c1"].Value=this._Name ; .... //有几个加几个 .... } catch(...) ...

这样呢，既可以避免低效率的字符串连接，又可以利用sqlcommand参数有效性检测来避免非法字符的出现，并且由于这种parameter方式是预编译的，效率更高。

以上所分享的是关于学习asp.net之SQL语句查询效率和安全性，下面是编辑为你推荐的有价值的用户互动：

　　相关问题：制作网站用asp.net好，还是用php好，其中哪一个性...

　　答：有些人说笑了，php快速开发，asp.net大型网站？大型的网站用asp.net的脚趾头数得过来。中国有印象的只有一个51job。CSDN坚持了那么长时间的asp.net，还不是转php了么？ php 大型网站有多少？中国几大门户谁不是用php+jsp？facebook 谷歌，哪个不... >>详细

　　相关问题：asp.net做网站的安全性方面要注意哪些？

　　答：帮你找的资料,看看有没有帮助 在网络经常看到网站被挂马、主页被修改的新闻，其实这些问题可能是多方面的，服务器，网站程序等等。但是现在溢出已经被人们重视和服务器的不断完善，服务器系统漏洞也不是那么容易发掘，当然也要保证第三方的软件... >>详细

　　相关问题：如何提高asp.net安全性？

　　答：ASP.NET常见安全问题 一、SQL语句漏洞 许多程序员在用sql语句进行用户密码验证时是通过一个类似这样的语句来实现的： Sql="Select * from 用户表 where 姓名 = '" + name + "' and 密码 = '" + password + "'" 通过分析可以发现，上述语句存在着... >>详细