C# 参数化查询

介绍

在 C# 数据库编程中，参数化查询是一种重要的技术，用于防止 SQL 注入攻击并提高代码的可读性和可维护性。通过使用参数化查询，你可以将用户输入的数据与 SQL 语句分离，从而避免恶意用户通过输入特殊字符来篡改 SQL 语句。

什么是参数化查询？

参数化查询是一种将 SQL 语句与用户输入数据分离的技术。它通过在 SQL 语句中使用占位符（如 @parameter）来表示用户输入的数据，然后将这些占位符与实际的数据绑定。这样，数据库引擎会将用户输入的数据视为参数，而不是 SQL 语句的一部分，从而防止 SQL 注入攻击。

为什么使用参数化查询？

1. 防止 SQL 注入攻击：参数化查询可以有效地防止 SQL 注入攻击，因为用户输入的数据不会被解释为 SQL 代码。
2. 提高性能：数据库引擎可以缓存参数化查询的执行计划，从而提高查询性能。
3. 代码可读性：参数化查询使 SQL 语句更加清晰，易于理解和维护。

如何使用参数化查询

在 C# 中，你可以使用 SqlCommand 对象来执行参数化查询。以下是一个简单的示例，展示了如何使用参数化查询向数据库中插入数据。

示例代码

csharp

using System;
using System.Data.SqlClient;

class Program
{
    static void Main()
    {
        string connectionString = "YourConnectionStringHere";
        string query = "INSERT INTO Users (Username, Email) VALUES (@Username, @Email)";

        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            connection.Open();
            using (SqlCommand command = new SqlCommand(query, connection))
            {
                command.Parameters.AddWithValue("@Username", "JohnDoe");
                command.Parameters.AddWithValue("@Email", "johndoe@example.com");

                int rowsAffected = command.ExecuteNonQuery();
                Console.WriteLine($"Rows affected: {rowsAffected}");
            }
        }
    }
}

代码解释

1. 连接字符串：connectionString 是用于连接到数据库的字符串。
2. SQL 查询：query 是包含占位符的 SQL 语句。
3. SqlConnection：使用 SqlConnection 对象来建立与数据库的连接。
4. SqlCommand：使用 SqlCommand 对象来执行 SQL 查询。
5. Parameters.AddWithValue：使用 AddWithValue 方法将用户输入的数据绑定到 SQL 语句中的占位符。
6. ExecuteNonQuery：执行 SQL 语句并返回受影响的行数。

实际应用场景

假设你正在开发一个用户注册系统，用户需要输入用户名和电子邮件地址。使用参数化查询可以确保用户输入的数据不会被恶意利用。

场景示例

csharp

using System;
using System.Data.SqlClient;

class Program
{
    static void Main()
    {
        string connectionString = "YourConnectionStringHere";
        string query = "INSERT INTO Users (Username, Email) VALUES (@Username, @Email)";

        Console.WriteLine("Enter your username:");
        string username = Console.ReadLine();

        Console.WriteLine("Enter your email:");
        string email = Console.ReadLine();

        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            connection.Open();
            using (SqlCommand command = new SqlCommand(query, connection))
            {
                command.Parameters.AddWithValue("@Username", username);
                command.Parameters.AddWithValue("@Email", email);

                int rowsAffected = command.ExecuteNonQuery();
                Console.WriteLine($"Registration successful! Rows affected: {rowsAffected}");
            }
        }
    }
}

场景解释

1. 用户输入：用户输入用户名和电子邮件地址。
2. 参数化查询：使用参数化查询将用户输入的数据插入到数据库中。
3. 防止 SQL 注入：即使用户输入了恶意代码，参数化查询也会将其视为数据，而不是 SQL 代码。

总结

参数化查询是 C# 数据库编程中不可或缺的一部分。它不仅可以防止 SQL 注入攻击，还能提高代码的可读性和性能。通过使用 SqlCommand 对象和 Parameters.AddWithValue 方法，你可以轻松地在 C# 中实现参数化查询。

附加资源

• Microsoft Docs: SqlCommand Class
• SQL Injection Prevention Cheat Sheet

练习

1. 修改上面的示例代码，使其能够更新用户的电子邮件地址。
2. 尝试使用参数化查询从数据库中查询数据，并将结果输出到控制台。

提示

在编写数据库应用程序时，始终使用参数化查询来确保数据的安全性。