[FAQ] ADO.NET 參數寫法 Parameter #2（避免SQL Injection資料隱碼攻擊） SqlParameterCollection

2015-01-21

7903
0
ADO_NET_LINQ_SQL_Entity
2016-06-13

摘要:[FAQ] ADO.NET 參數寫法 Parameter #2（避免SQL Injection資料隱碼攻擊）
SqlParameterCollection .AddRange()方法

[FAQ] ADO.NET 參數寫法 Parameter（避免SQL Injection資料隱碼攻擊）

網路上找到的其他寫法，為自己做一個筆記

SqlConnection Conn = new SqlConnection("DB連結字串");

SqlDataReader dr = null;

SqlCommand cmd = new SqlCommand("select * from 資料表test where id = @id", Conn);

//== 參數！！ ============================(start)

cmd.Parameters.Clear();

List<SqlParameter> paralist = new List<SqlParameter>();

paralist.Add(new SqlParameter("@id", "輸入值")));

//--第一種寫法------------------------------------------------

// 資料來源 http://stackoverflow.com/questions/11518377/how-do-i-use-mysqlparametercollection-addrange

//paralist.Add(new SqlParameter("@p1", value1)); //如果要加入多個參數，怎麼辦？？

//paralist.Add(new SqlParameter("@p2", value2));

cmd.Parameters.AddRange(paralist.ToArray<SqlParameter>());

// 把「陣列」值，批次加入參數裡面

// http://blog.xuite.net/linriva/blog/38518331-%5BASP.NET%5D+SqlParameter+%3A+%E9%99%A3%E5%88%97%E5%AE%A3%E5%91%8A

////--第二種寫法------------------------------------------------

//cmd.Parameters.AddRange(new SqlParameter[]

//{

// new SqlParameter("@p1", value1),

// new SqlParameter("@p2", value2)

//});

////--第三種寫法------------------------------------------------

//SqlParameterCollection paraCollection = cmd.Parameters;

//foreach (SqlParameter para in paralist)

//{

// paraCollection.Add(para);

//}

////--第四種寫法------------------------------------------------

//**** 有時method裡,引數數量並不是固定的,就可以用params來宣告 ****

// http://www.allenkuo.com/EBook5/view.aspx?a=1&TreeNodeID=123&id=603

//== 參數！！ ============================(end)

try {

Conn.Open(); //== 第一，連結資料庫。

dr = cmd.ExecuteReader(); //== 第二，執行SQL指令，取出資料

GridView1.DataSource = dr; //==第三，自由發揮，把執行後的結果呈現到畫面上。

GridView1.DataBind(); //--資料繫結

}

catch (Exception ex) {

//---- 如果程式有錯誤或是例外狀況，將執行這一段

}

finally {

// == 第四，釋放資源、關閉資料庫的連結。

if (dr != null) {

cmd.Cancel();

dr.Close();

}

if (Conn.State == ConnectionState.Open) {

Conn.Close();

Conn.Dispose(); //---- 一開始宣告有用到 New的,最後必須以 .Dispose()結束

}

我將思想傳授他人，他人之所得，亦無損於我之所有；

猶如一人以我的燭火點燭，光亮與他同在，我卻不因此身處黑暗。----Thomas Jefferson

線上課程教學，遠距教學 (Web Form 約51hr) https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015

線上課程教學，遠距教學 (ASP.NET MVC 約75~88hr) https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab

ASP.NET MVC線上課程第一天免費看 (5.5小時)

寫信給我，不要私訊 -- mis2000lab (at) yahoo.com.台灣 或 school (at) mis2000lab.net

ASP.NET遠距教學、線上課程（Web Form + MVC）。 第一天課程， "完整" 試聽。

................ facebook社團 https://www.facebook.com/mis2000lab ......................

................ YouTube (ASP.NET) 線上教學影片 https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/

Blog文章 "附的範例" 無法下載，請看 這裡 ...... https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download

請看我們的「售後服務」範圍（嚴格認定）。

......................................................................................................................................................

[遠距教學、教學影片] ASP.NET (Web Form) 課程上線了！MIS2000Lab.主講

事先錄製好的影片，並非上課時側錄！觀看影片時，有如我「一對一」跟您面對面講課。

ASP.NET MVC 5 => .NET Core MVC 線上教學

累積時數約 95小時...... 第一天（5.5小時）完整內容，"免費"讓您評估

回首頁

ASP.NET專題實務 WebForm + MVC教學影片 -- MIS2000Lab.

MIS2000 Lab.已推出20餘本電腦書，曾任資策會專任講師與微軟MVP。自.NET 1.x起，已出版15本ASP.NET (Web Form)書籍，也有遠距教學