学习ASP之SQL语句查询效率和安全性

sql|安全|安全性|语句

看一看这段代码,让我们来看看主要存在的问题

//设置SQL语句
insertstr="insert into userinfo(name,password,email,phone,mobile,post,address)
VALUES(``";
insertstr += this._name.Trim()
;+ "``,``";
insertstr += this._password.Trim() +"``,``";
insertstr += this._email.Trim() +"``,``";
insertstr += this._phone.Trim() +"``,``";
insertstr += this._mobile.Trim() +"``,``";
insertstr += this._post.Trim() +"``,``";
insertstr += this._address.Trim() +"``)";

1、效率问题

首先看看上边这段代码,效率太低了,这么多的字符串连接本身效率就够低的了,再加上这么些trim(),完全没有必要。

2、正确性问题

这段代码太脆弱,一个单引号就可以使整个程序崩溃。

3、安全性

同上,利用单引号我可以做很多事,比如运行个xp_cmd命令,那你就惨了,呵呵。

那么,怎样来写呢,上面这段代码可以改成这样:

string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 ,
@c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20)
myCommand.Parameters["@c1"].Value = this._Name ;
....
//有几个加几个
....
}
catch(...)
...

  这样呢,既可以避免低效率的字符串连接,又可以利用sqlcommand参数有效性检测来避免非法字符的出现,并且由于这种parameter方式是预编译的,效率更高。

时间: 2024-09-24 03:49:10

学习ASP之SQL语句查询效率和安全性的相关文章

学习asp.net之SQL语句查询效率和安全性

看一看这段代码,让我们来看看主要存在的问题 以下为引用的内容: //设置SQL语句 insertstr="insert into userinfo(name,password,email,phone,mobile,post,address) VALUES(``"; insertstr += this._name.Trim() ;+ "``,``"; insertstr += this._password.Trim() +"``,``"; inse

通过查询分析器对比SQL语句执行效率

可以方便地对不同的SQL语句进行效率对比.首先打开查询分析器,将查询菜单中的"显示执行计划"."显示服务器跟踪"."显示客户统计"都选中. 在编辑窗口中输入要进行对比的SQL语句,比如不同方式的查询: SELECT *FROM CRM_FWDWHERE RQ BETWEEN '2006-06-01' AND '2006-06-02'SELECT *FROM CRM_FWDWHERE DATEDIFF(DAY, RQ, '2006-06-01')

MySQL中优化sql语句查询常用的30种方法

本篇文章是对MySQL中优化sql语句查询常用的30种方法进行了详细的分析介绍,需要的朋友参考下   1.对查询进行优化,应尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引. 2.应尽量避免在 where 子句中使用!=或<>操作符,否则将引擎放弃使用索引而进行全表扫描. 3.应尽量避免在 where 子句中对字段进行 null 值判断,否则将导致引擎放弃使用索引而进行全表扫描,如: select id from t where num is null 可以

SQL语句执行效率及性能测试

写程序的人,往往需要分析所写的SQL语句是否已经优化过了,服务器的响应时间有多快,这个时候就需要用到SQL的STATISTICS状态值来查看了. 通过设置STATISTICS我们可以查看执行SQL时的系统情况.选项有PROFILE,IO ,TIME.介绍如下: SET STATISTICS PROFILE ON:显示分析.编译和执行查询所需的时间(以毫秒为单位). SET STATISTICS IO ON:报告与语句内引用的每个表的扫描数.逻辑读取数(在高速缓存中访问的页数)和物理读取数(访问磁

优化-PLsql 执行sql语句查询超时

问题描述 PLsql 执行sql语句查询超时 sql查询语句中字段有几十个,并且有大量的聚合函数,求最大最小值,求和之类的 ,表中数据量非常多,也建了索引,在PLsql 中执行sql语句,一直在执行,强行停止停止不下来, 怎么处理,sql语句怎么优化,数据库是不是有点问题啊 解决方案 ··· 起码把代码发上来给大家看看吧! (/ □ ) 解决方案二: 聚合函数对效率影响应该不是很大,你看看是不是子查询很多,尽量优化一下.如果不是这种情况,可以考虑索引,或者扩展数据库使用的内存大小.希望能帮到你!

根据mysql慢日志监控SQL语句执行效率_Mysql

根据mysql慢日志监控SQL语句执行效率 启用MySQL的log-slow-queries(慢查询记录). 在Linux环境下先要找到my.cnf文件(一般在/etc/mysql/),然后可能会发现该文件修改后无法保存,原因是你没有相应的权限,可以从属性中看到该文件的所有者是root,这时要先以root的身份打开它: sudo nautilus /etc/mysql 接着再打开my.cnf文件然后找到[mysqld]标签在下面加上: log-slow-queries=/path/slow.lo

数据库表中日期记录为2009-04-23的形式,如何用sql语句查询2009年4月份的所有记录,请帮帮我!!谢谢!!

问题描述 数据库表中日期记录为2009-04-23的形式,如何用sql语句查询2009年4月份的所有记录,请帮帮我!!谢谢!! 解决方案 解决方案二:补充一句我需要HQL语句解决方案三:fromClasswheredatebetweendate'2009-04-01'anddate'2009-04-30'解决方案四:引用2楼endlesspass的回复: fromClasswheredatebetweendate'2009-04-01'anddate'2009-04-30' 就只有这一种思路了吗

ASP中SQL语句导致的性能问题

问题|性能|语句 今天,修改了一点上次做的办公管理系统中的文件上传的BUG,原因是ASP中SQL语句性能问题导致了RecordSet对象关闭,结果使数据入库失败.对于这个错误,我目前只能这样理解了: SQL语句 select * from TAB_FILES 打开表后,然后调用AddNew方法添加要更新的数据,表面上看没什么问题,当TAB_FILES表中记录相当多时, select * from TAB_FILES 问题就暴露了,所有被选择的数据会写入系统内存缓冲区(实际操作由RecordSet

sql语句查询问题。。。。。

问题描述 sql语句查询问题..... 一张学生表,字段学生姓名name,学科xk,成绩cj,查询平均成绩大于90,并且语文成绩大于95的学生姓名, 求解答~!!! 解决方案 命名查询的sql语句的问题一个SQL语句查询问题(查询最小值SQL语句中模糊查询的下划线的问题 解决方案二: select distinct 姓名name from (select 姓名name, 学科xk,成绩cj,avg(成绩cj) over (partition by 姓名name) as avg_cj from 学