學(xué)習(xí)asp.net之SQL語句查詢效率和安全性_.Net教程

教程Tag：暫無Tag,歡迎添加,賺取U幣!

推薦：捕捉WPF應(yīng)用程序中XAML代碼解析異常
由于WPF應(yīng)用程序中XAML代碼在很多時候是運行時加載處理的。比如DynamicResource，但是在編譯或者運行的過程中，編寫的XAML代碼很可能有錯誤，此時XAML代碼解析器通常會拋出稱為XamlParseExcepti

看一看這段代碼，讓我們來看看主要存在的問題

以下為引用的內(nèi)容：

//設(shè)置SQL語句

insertstr="insert into userinfo(name,password,email,phone,mobile,post,address)
VALUES(``";
insertstr = this._name.Trim()
; "``,``";
insertstr = this._password.Trim() "``,``";
insertstr = this._email.Trim() "``,``";
insertstr = this._phone.Trim() "``,``";
insertstr = this._mobile.Trim() "``,``";
insertstr = this._post.Trim() "``,``";
insertstr = this._address.Trim() "``)";

1、效率問題

首先看看上邊這段代碼，效率太低了，這么多的字符串連接本身效率就夠低的了，再加上這么些trim()，完全沒有必要。

2、正確性問題

這段代碼太脆弱，一個單引號就可以使整個程序崩潰。

3、安全性

同上，利用單引號我可以做很多事，比如運行個xp_cmd命令，那你就慘了，呵呵。

那么，怎樣來寫呢，上面這段代碼可以改成這樣：

以下為引用的內(nèi)容：

string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 ,
@c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("@c1" , SqlDataType.VarChar , 20)
myCommand.Parameters["@c1"].Value = this._Name ;
....
//有幾個加幾個
....
}
catch(...)
...

這樣呢，既可以避免低效率的字符串連接，又可以利用sqlcommand參數(shù)有效性檢測來避免非法字符的出現(xiàn)，并且由于這種parameter方式是預(yù)編譯的，效率更高。

分享：.NET：InTheHand提供的類操作SMS
由于需要催手機里的短消息（SMS）進行操作，現(xiàn)成的API都不能方便的實現(xiàn)，看到最好用的要數(shù)InTheHand這家第三方控件了，真的很方便，但是這個版本是商業(yè)版（$49），發(fā)布的試用版不支持這個類的，