在C#中建立復雜的、靈活的SQL查詢/命令_.Net教程
推薦:ASP.NET生成高質量縮略圖通用函數(c#代碼)在網站開發時,生成縮略圖是一個非常常見和實用的功能.以前在asp里只能借助com組件實現,現在在.net里可以利用框架的強大的類庫輕松實現.下面帖出完整的代碼(帶詳細注釋),參考了網上的一些文章及.
SelectQueryBuilder類允許在你的代碼中建立復雜的SQL語句和命令。它也能幫助于避免SQL注入式攻擊。
介紹
承認,并且我們都這樣作過,也認為下面的方式是最好的和唯一的方式。就是我們建立大量的字符串包含所有的Where子句,然后提交到數據庫去執行它。來斷的加語句到我們的SQL字符串,極有可能會帶來Bugs和SQL注入式攻擊的危險。并且也使得我們的代碼更難看也不易于管理。
這種情況必須停止,但如何停止?有人說使用存儲過程。但它并沒有真正的解決這個問題。你還得動態建立你的SQL語句,只不過有問題移到數據庫層面上了,依然有SQL注入的危險。除了這個“解決方案”外,可能還有非常多的選擇供你考慮,但它們都會帶來一個基本的挑戰:讓SQL語句工作的更好、更安全。
當我從我的在線DAL(數據訪問層)生成工具http://www.code-engine.com/建立C#模板時,我想提供一個易于使用的方法來定制查詢數據。我不再想使用“字符串查詢”(我以前開發的模板)來查詢數據。我厭煩這種凌亂的方式來得到數據。我想用一種清晰的、直覺的、靈活的、簡單的方式從表中選擇數據,聯接一些別的語句,使用大量的Where子句,用一些列來分組數據,返回前X個記錄。
我開始開發所想的有這種嚴密功能的SelectQueryBuilder類。它暴露了許多屬性和方法,你能很容易地在Select語句中使用它們。一旦調用BuildQuery()和BuildCommand()方法,它能提供一種更好的舊的“字符串查詢“或可以使用命令參數的DbCommand對象來查詢數據。
使用代碼
舊的方式的代碼
下面的代碼闡明了以前建立SELECT語句的方法,它使用許多類變量來說明應該使用那種連接操作(WHERE,或者OR),同時也給你的數據庫帶來了可能的SQL注入式攻擊。
string statement = "SELECT TOP " maxRecords " * FROM Customers ";
string whereConcatenator = "WHERE ";
if (companyNameTextBox.Text.Length > 0)
{
statement = whereConcatenator;
statement = "CompanyName like '" companyNameTextBox.Text "%' ";
whereConcatenator = "AND ";
}
if (cityTextBox.Text.Length > 0)
{
statement = whereConcatenator;
statement = "City like '" cityTextBox.Text "%' ";
whereConcatenator = "AND ";
}
if (countryComboBox.SelectedItem != null)
{
statement = whereConcatenator;
statement = "Country = '" countryComboBox.SelectedItem "' ";
whereConcatenator = "AND ";
}
我相信上面的代碼對你來說是非常熟悉的,你可能在過去的十多年一直是這樣使用的,或者你曾經編碼過數據庫驅動的搜索功能。讓我告訴你這種思想:這種查詢你的數據庫的方法不能再使用了,它是難看的也是不安全的。
SelectQueryBuilder方式的代碼
同樣的查詢能夠使用SelectQueryBuilder類建立。
SelectQueryBuilder query = new SelectQueryBuilder();
query.SelectFromTable("Customers");
query.SelectAllColumns();
query.TopRecords = maxRecords;
if (companyNameTextBox.Text.Length > 0)
query.AddWhere("CompanyName", Comparison.Like,companyNameTextBox.Text "%");
if (cityTextBox.Text.Length > 0)
query.AddWhere("City", Comparison.Like,
cityTextBox.Text "%");
if (countryComboBox.SelectedItem != null)
query.AddWhere("Country", Comparison.Equals,
countryComboBox.SelectedItem);
string statement = query.BuildQuery();
// or, have a DbCommand object built
// for even more safety against SQL Injection attacks:
query.SetDbProviderFactory(
DbProviderFactories.GetFactory(
"System.Data.SqlClient"));
DbCommand command = query.BuildCommand();
分享:asp.net里面的身份驗證和授權今天閑著無聊.想起來了ASP.NET身份驗證.感覺良好.貼出下列代碼: login.aspx HTML代碼 <%@ Page language="c#" Codebehind="02Login.aspx.cs" AutoEventWire
- asp.net如何得到GRIDVIEW中某行某列值的方法
- .net SMTP發送Email實例(可帶附件)
- js實現廣告漂浮效果的小例子
- asp.net Repeater 數據綁定的具體實現
- Asp.Net 無刷新文件上傳并顯示進度條的實現方法及思路
- Asp.net獲取客戶端IP常見代碼存在的偽造IP問題探討
- VS2010 水晶報表的使用方法
- ASP.NET中操作SQL數據庫(連接字符串的配置及獲取)
- asp.net頁面傳值測試實例代碼
- DataGridView - DataGridViewCheckBoxCell的使用介紹
- asp.net中javascript的引用(直接引入和間接引入)
- 三層+存儲過程實現分頁示例代碼
- 相關鏈接:
- 教程說明:
.Net教程-在C#中建立復雜的、靈活的SQL查詢/命令
。