• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

C#中,仿效Java中,SQL参数以?替代的做法,解决IN的防注入问题(续) ...

原作者: [db:作者] 来自: [db:来源] 收藏 邀请

昨天写了C#中仿效Java内SQL参数以?替代的方案,但是区分了单个参数和数组参数,而且只能支持其中的一种,不能2种情况都支持。

今天突然发现,原来可以利用params object[]参数的时候可以将数组当作参数传入,当传入对象类型的IsArray为true的时候,可以区分出单个参数还是数组参数,这样就可以在任何情况下都能将参数以?的形式替代。

由于SQL内的参数,可以是单个参数和数组参数混合的形式,因此需要属性来区分数组参数和单个参数的下标。

 1         /// <summary>
2 /// 单参数下标
3 /// </summary>
4 int ParamIndex
5 {
6 get;
7 set;
8 }
9
10 /// <summary>
11 /// 数组参数下标
12 /// </summary>
13 int ArrayIndex
14 {
15 get;
16 set;
17 }

  

为了方便获取当前的单个参数名和数组参数名,我使用属性的Get来获取名字。

 1         /// <summary>
2 /// 单参数名
3 /// </summary>
4 string SingleParam
5 {
6 get
7 {
8 return string.Format("@param_{0}", this.ParamIndex);
9 }
10 }
11
12 /// <summary>
13 /// 数组参数名
14 /// </summary>
15 string ArrayParam
16 {
17 get
18 {
19 return string.Format("@array_{0}", this.ArrayIndex);
20 }
21 }

  

转化的过程中,主要是对于参数替代符号?的处理,我使用正则类的Replace方法来实现。具体代码如下:

 1 /// <summary>
2 /// 转化问号参数
3 /// </summary>
4 /// <param name="sql">带问号的SQL语句</param>
5 /// <param name="paramValues">参数值数组</param>
6 /// <returns></returns>
7 public SqlParameter[] CastUnknowMark(ref string sql, object[] paramValues)
8 {
9 //如存在问号参数并且参数值数组>0,则遍历每个问号参数,如参数下标超出参数值数量范围则抛出异常,
10 //如当前下标的参数值为数组,则以等同于参数值数组数量的参数替换问号参数,否则替换为单个参数
11 IList<SqlParameter> parameterList = new List<SqlParameter>();
12 if(0 <= sql.IndexOf("?") && paramValues != null && 0 < paramValues.Length)
13 {
14 sql = new Regex(@"\?").Replace(sql, mark =>
15 {
16 string paramName = this.SingleParam;
17 if(this.ParamIndex < paramValues.Length)
18 {
19 object paramValue = paramValues[this.ParamIndex];
20 if(paramValue.GetType().IsArray)
21 {
22 IList values = paramValue as IList;
23 IList<string> paramNameList = new List<string>();
24 foreach(object obj in values)
25 {
26 this.ArrayIndex++;
27 paramNameList.Add(this.ArrayParam);
28 parameterList.Add(new SqlParameter(this.ArrayParam, obj));
29 }
30 paramName = string.Join(",", paramNameList.ToArray());
31 }
32 else
33 {
34 parameterList.Add(new SqlParameter(this.SingleParam, paramValue));
35 }
36 }
37 else
38 {
39 throw new Exception("参数值数量小于问号参数数量!");
40 }
41 this.ParamIndex++;
42 return paramName;
43 });
44 }
45 return parameterList.ToArray();
46 }

  

个人觉得,有些想法应该尝试一下,虽然一开始写的不好,但是随着多次实践与思考,肯定能将代码写的更好,写的不好之处,请多多见谅。


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
热门推荐
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap