广告合作QQ:76874919

c# – 为什么我们做SQLiteCommand,Parameters.add,而我们可以使用string.Format编写sql语句?

C# 2019-07-07
我在许多教程中看到,通过使用变量和Parameters.Add来构造sql语句 
public void updateStudent(String @studentID,String @firstName,String @lastName)
{
    sqliteCommand command = conn.CreateCommand();
    command.CommandText = "UPDATE Students SET firstName = @firstName,lastName = @lastName WHERE studentID = @studentID";
    command.Parameters.Add(new sqliteParameter("@studentID",@studentID));
    command.Parameters.Add(new sqliteParameter("@firstName",@firstName));
    command.Parameters.Add(new sqliteParameter("@lastName",@lastName));
    command.ExecuteNonQuery();
}

为什么我们不用

string.Format("Update Students SET firstName = '{0}',lastName = '{1}...",@firstName,@lastname)

任何好处?

解决方法

四个原因:

>避免SQL injection attacks
>避免使用包含正确撇号的字符串的问题,而不打算引起sql注入攻击(例如姓氏“O’Reilly”
>避免字符串不必要的转换,这可能会导致文化原因的失败(例如“1.23”和“1,23”之间的差异取决于您的文化
>保持代码(sql)和数据(参数)分开,以提高可读性

另请注意:

>这不是sqlite特定的.这是所有数据库的最佳做法.
>除非是关键字,否则不需要使用@作为变量的前缀.所以写一下更惯用语:

command.Parameters.Add(new sqliteParameter("@lastName",lastName));

(同上方法参数声明以…开头但不是参数在sql语句里面)

相关文章

C#使用SharpZipLib创建压缩文件,并指定压缩文件夹路径(解决SharpZipLib压缩长路径显示问题)
在项目中使用SharpZipLib压缩文件夹的时候,遇到如果目录较深,则压缩包中的文件夹同样比较深的问题。比...
C#使用Parallel处理数据同步写入Datatable并使用BulkInsert批量导入数据库
项目需要,几十万张照片需要计算出每个照片的特征值(调用C++编写的DLL)。 业务流程:选择照片...
C# byte和10进制、16进制相互转换
var array = new byte[4]; var i = Encoding.UTF8.GetBytes(100.ToString("x2"));//...
Winform下的Combox根据值来选中项
其实很简单,因为Combox的Item是一个K/V的object,那么就可以把它的items转换成IEnumerable<Dic...
HM NIS Edit制作安装包时检测是否有.net4.6环境,没有的时候自动安装。
把.net4.6安装包打包进安装程序。 关键脚本如下: 头部引用字符串对比库 !include "WordFunc....
C#使用iTextSharp+ZXing.Net+FreeSpire.PDF生成和打印pdf文档
项目需求(Winform)可以批量打印某个模板,经过百度和摸索,使用iTextSharp+ZXing.NetʿreeSp...