----------------------------------------------------------------------------------------------------------------------------------------------- 本文提示:《学习ASP之SQL语句查询效率和安全性》是本站编辑们为广大网友精选的实用文章,本文阐述了关于文章的相关理论,相对来说专业性强,但是本文只是针对于某个问题提出的见解与论述,未必能辐射到相关问题的方方面面,所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦. -----------------------------------------------------------------------------------------------------------------------------------------------
看一看这段代码,让我们来看看主要存在的问题
//设置SQL语句
insertstr="insert into userinfo(name,password,email,phone,mobile,post,address)
VALUES(``";
insertstr += this._name.Trim()
;+ "``,``";
insertstr += this._password.Trim() +"``,``";
insertstr += this._email.Trim() +"``,``";
insertstr += this._phone.Trim() +"``,``";
insertstr += this._mobile.Trim() +"``,``";
insertstr += this._post.Trim() +"``,``";
insertstr += this._address.Trim() +"``)";
1、效率问题
首先看看上边这段代码,效率太低了,这么多的字符串连接本身效率就够低的了,再加上这么些trim(),完全没有必要。
2、正确性问题
这段代码太脆弱,一个单引号就可以使整个程序崩溃。
3、安全性
同上,利用单引号我可以做很多事,比如运行个xp_cmd命令,那你就惨了,呵呵。
那么,怎样来写呢,上面这段代码可以改成这样:
string strSql = "insert into sometable (c1 , c2 , c3 , ...) values(@c1 , @c2 ,
@c3,...)"
SqlCommand myCommand = new SqlCommand(strSql , myConn)
本文章更多内容:1 - 2 - 下一页>>收藏到:[收藏夹] [百度搜藏] [新浪ViVi] [POCO网摘] [ 和讯网摘] [好哦网摘] [Google书签]
[搜狐网摘] [365Key网摘] [天极网摘] [我摘] [博采网摘] [igooi网摘] |
您的位置:学习中国
→ 推荐教程
→ 正文
本文章所属分类:首页
→ 推荐教程
ASP编程