堆栈内存溢出
  繁体   English   中英

SQL参数化查询。 添加不必要的参数

[英]SQL parametrized query. Adding unnecessary parameters

 原文  2013-02-15 19:35:39       c#/ sql-server/ parameters

问题描述

我在项目中使用参数化查询来防止SQL注入,我遇到了一个有趣的查询方案。 我有一个查询,有时会有比其他更多的参数,即where子句更改。 在以下两个代码块之间是否存在性能或其他方面的差异? 此代码位于对象内部,因此“变量”是属性,两个方法都具有访问权限。

在这个中我只在条件满足时才添加参数。 

    public bool TestQuery()
    {
        SqlCommand command = new SqlCommand();
        string query = GetQuery(command);
        command.CommandText = query;
        //execute query and other stuff
    }
    private string GetQuery(SqlCommand command  )
    {
        StringBuilder sb = new StringBuilder("SELECT * FROM SomeTable WHERE Active = 1 ");
        if (idVariable != null)
        {
            sb.Append("AND id = @Id");
            command.Parameters.Add("@Id", SqlDbType.Int).Value = idVariable;
        }
        if (!string.IsNullOrEmpty(colorVariable))
        {
            sb.Append("AND Color = @Color");
            command.Parameters.Add("@Color", SqlDbType.NVarChar).Value = colorVariable;
        }
        if (!string.IsNullOrEmpty(sizeVariable))
        {
            sb.Append("AND Color = @Size");
            command.Parameters.Add("@Size", SqlDbType.NVarChar).Value = sizeVariable;
        }
        return sb.ToString();
    }

在这一个中,我每次都添加所有参数,只有在满足条件时才添加where子句参数。 

    public bool TestQuery()
    {
        SqlCommand command = new SqlCommand(GetQuery());
        command.Parameters.Add("@Id", SqlDbType.Int).Value = idVariable;
        command.Parameters.Add("@Color", SqlDbType.NVarChar).Value = colorVariable;
        command.Parameters.Add("@Size", SqlDbType.NVarChar).Value = sizeVariable;
        //execute query and other stuff
    }
    private string GetQuery()
    {
        StringBuilder sb = new StringBuilder("SELECT * FROM SomeTable WHERE Active = 1 ");
        if (idVariable != null)
            sb.Append("AND id = @Id");
        if (!string.IsNullOrEmpty(colorVariable))
            sb.Append("AND Color = @Color");
        if (!string.IsNullOrEmpty(sizeVariable))
            sb.Append("AND Color = @Size");
        return sb.ToString();
    }

根据测试,我做了其中任何一个都可以工作。 我个人更喜欢第二个,因为我觉得它更干净,更容易阅读,但我想知道是否有一些性能/安全性原因我不应该添加未使用的参数,可能会是null /空字符串。

1 个解决方案

解决方案1
 1 已采纳  2013-02-18 16:39:58

我想我会根据HABO的评论选择一个,因为在我的情况下,熊的答案并不真正有效。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在Dapper中执行参数化SQL查询(应用了参数)之前,该如何获取它? 参数数量错误(参数化查询) 使用LIKE的SQL参数化查询 参数化Linq到SQL查询会导致性能问题 事务,表截断和参数化SQL查询 C#的Postgre SQL参数化查询 向SQL查询的WHERE子句添加参数 如何“拆分”或优化Linq to Sql查询。 SQL查询未返回任何表。 怎么会这样 资源池“默认”中的系统内存不足,无法运行此查询。 在 sql 上
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM