代码之家  ›  专栏  ›  技术社区  ›  Jimenemex

在SQL参数值周围添加引号?

sql-injection ado.net oracle c#
  •  0
  • Jimenemex  · 技术社区  · 6 年前

    我不确定是否应该添加单引号 '' 当SQL参数是一个已经用数据填充的字符串值时,它的值。我的想法是我没有,因为通过使用 OracleParameter 构造函数,它将自动将其数据类型更改为字符串。

    具体来说,我应该这样做吗: '@c' 刚刚结束 @c 执行此操作时: SELECT @c FROM Dual 什么时候 @ C 是否已将字符串放入 Oracle参数 建造师? 

    string calcDateFormat = "Some Data";

try
{
    string sql = "SELECT @c ColumnName FROM Dual";
    // Or should it be this
    string sql = "SELECT '@c' ColumnName FROM Dual";

    using(OracleCommand command = new OracleCommand(sql, this.Connection))
    {
        OracleDataAdapter adapter = new OracleDataAdapter(command);
        adapter.SelectCommand.Parameters.Add(new OracleParameter("@c", OracleDbType.Varchar2, calcDateFormat, ParameterDirection.Output));
        DataSet dataset = new DataSet();
        adapter.Fill(dataset);
        return dataset;
    }
}
catch (OracleException ex)
{
    throw ...
}

// SELECT => 
//        Column: ColumnName
//        Row:    Some Data
    2 回复  |  直到 6 年前
        1
  •  1
  •   Parth Kale    6 年前

    不,不需要添加引号,因为下面的代码工作正常, 

     string sql = "SELECT @c ColumnName FROM Dual";

    原因是,如果编写“@c”,它将在声明参数的位置搜索匹配的参数名,而不匹配查询将中断。

        2
  •  1
  •   Schytheron    6 年前

    我想你可以把它当作 string sql = "SELECT @c FROM Dual"; 没有单引号。这至少是我用PHP编写SQL查询的方式。不过,我不知道C和Oracle的规则是否不同。

    你回答问题的最好机会是尝试两种方法,看看会发生什么。

    推荐文章
    K.Z  ·  无法使用ADO获取Insert命令的记录Id。NET 4.0中的NET
    2 年前
    jchristo  ·  释放时服务炸弹爆炸[重复]
    6 年前
    Jonathan Wood  ·  执行ADO。NET与IDisposable一起过火?
    6 年前
    Rod  ·  检查DataTable是否存在列以及是否为null
    6 年前
    hao hu  ·  如何在Visual Studio 2017中选择所有这些单词
    6 年前
    Mustafa Temiz  ·  是否可以在数据库中保存appSettings
    6 年前
    user1451111  ·  如何在ADO代码中存储大型查询。NET项目
    6 年前
    Stefan Zvonar  ·  在运行时更改SqlConnection超时
    6 年前
    Schauby  ·  ADO。Net实体模型“EF Desinger from Database”忽略了1列
    6 年前
    Waqas Qureshi  ·  如何用c#中的不同值更新数据库中的多行?
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号