SQL参数化查询自动生成SqlParameter列表

时间:2022-09-01 07:39:33

string sql = @"INSERT INTO stu VALUES (@id,@name) ";

参数化查询是经常用到的,它可以有效防止SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。

支持泛型,Object和ExpandoObject动态类型

using System;

using System.Collections.Generic;

using System.Data.SqlClient;

using System.Linq;

using System.Reflection;

using System.Text;

using System.Text.RegularExpressions;

using System.Dynamic;

namespace Comm

{

    /// <summary>

    /// 作者:徐晓硕

    /// 邮箱:xuxiaoshuo@fang.com

    /// 版本:v1.0.0

    /// </summary>

    public class GetSqlParameters

    {

        /// <summary>

        /// 过滤参数的规则

        /// </summary>

        private static Regex reg = new Regex(@"@\S{1,}?(,|\s|;|--|\)|$)");  

        private static char[] filterChars = new char[] { ' ', ',', ';', '-',')' };  

        /// <summary>

        /// 根据sql语句和实体对象自动生成参数化查询SqlParameter列表

        /// </summary>

        /// <typeparam name="T">实体对象类型</typeparam>

        /// <param name="sqlStr">sql语句</param>

        /// <param name="obj">实体对象</param>

        /// <returns>SqlParameter列表</returns>

        public static List<SqlParameter> From<T>(String sqlStr, T obj)

        {

            List<SqlParameter> parameters = new List<SqlParameter>();  

            List<string> listStr = new List<string>();

            Match mymatch = reg.Match(sqlStr);

            while (mymatch.Success)

            {

                listStr.Add(mymatch.Value.TrimEnd(filterChars).TrimStart('@'));

                mymatch = mymatch.NextMatch();

            }

            Type t = typeof(T);  

            PropertyInfo[] pinfo = t.GetProperties();  

            foreach (var item in listStr)

            {

                for (int i = ; i < pinfo.Length; i++)

                {

                    if (item.Equals(pinfo[i].Name, StringComparison.OrdinalIgnoreCase))

                    {

                        parameters.Add(new SqlParameter() { ParameterName = "@" + item, Value = pinfo[i].GetValue(obj, null) });

                        break;

                    }

                    else

                    {

                        if (i == pinfo.Length - )

                        {

                            throw new Exception("查询参数@" + item + "在类型" + t.ToString() + "中未找到赋值属性");

                        }

                    }

                }

            }  

            return parameters;

        }

        /// <summary>

        /// 根据sql语句和实体对象自动生成参数化查询SqlParameter列表

        /// </summary>

        /// <param name="sqlStr">sql语句</param>

        /// <param name="obj">实体对象</param>

        /// <returns>SqlParameter列表</returns>

        public static List<SqlParameter> From(String sqlStr, object obj)

        {

            List<SqlParameter> parameters = new List<SqlParameter>();  

            List<string> listStr = new List<string>();

            Match mymatch = reg.Match(sqlStr);

            while (mymatch.Success)

            {

                listStr.Add(mymatch.Value.TrimEnd(filterChars).TrimStart('@'));

                mymatch = mymatch.NextMatch();

            }

            Type t = obj.GetType();  

            PropertyInfo[] pinfo = t.GetProperties();  

            foreach (var item in listStr)

            {

                for (int i = ; i < pinfo.Length; i++)

                {

                    if (item.Equals(pinfo[i].Name, StringComparison.OrdinalIgnoreCase))

                    {

                        parameters.Add(new SqlParameter() { ParameterName = "@" + item, Value = pinfo[i].GetValue(obj, null) });

                        break;

                    }

                    else

                    {

                        if (i == pinfo.Length - )

                        {

                            throw new Exception("查询参数@" + item + "在类型" + t.ToString() + "中未找到赋值属性");

                        }

                    }

                }

            }  

            return parameters;

        }  

        /// <summary>

        /// 根据sql语句和ExpandoObject对象自动生成参数化查询SqlParameter列表

        /// </summary>

        /// <param name="sqlStr">sql语句</param>

        /// <param name="obj">ExpandoObject对象</param>

        /// <returns>SqlParameter列表</returns>

        public static List<SqlParameter> From(String sqlStr, ExpandoObject obj)

        {

            List<SqlParameter> parameters = new List<SqlParameter>();  

            List<string> listStr = new List<string>();

            Match mymatch = reg.Match(sqlStr);

            while (mymatch.Success)

            {

                listStr.Add(mymatch.Value.TrimEnd(filterChars).TrimStart('@'));

                mymatch = mymatch.NextMatch();

            }

            IDictionary<String, Object> dic=(IDictionary<String, Object>)obj;  

            foreach (var item in listStr)

            {

                int reachCount = ;

                foreach (var property in dic)

                {

                    if (item.Equals(property.Key, StringComparison.OrdinalIgnoreCase))

                    {

                        parameters.Add(new SqlParameter() { ParameterName = "@" + item, Value = property.Value });

                        break;

                    }

                    else

                    {

                        if (reachCount == dic.Count-)

                        {

                            throw new Exception("查询参数@" + item + "在类型ExpandoObject中未找到赋值属性");

                        }

                    }

                    reachCount++;

                }

            }

            return parameters;

        }

    }

}

Demo代码

using System;

using System.Collections.Generic;

using System.Data.Common;

using System.Linq;

using System.Reflection;

using System.Text;

using Framework.Data;

using System.Data;

using System.Data.SqlClient;

using System.Dynamic;

using Comm;

namespace 数据层

{

    class Program

    {

        static void Main(string[] args)

        {  

            string sql = @"INSERT INTO stu VALUES (@id,@name) ";  

            dynamic wherePart = new ExpandoObject();

            wherePart.ID = "";

            wherePart.Name = "Test";

            List<SqlParameter> listPar2 = GetSqlParameters.From(sql, wherePart);

            foreach (var item in listPar2)

            {

                Console.WriteLine(item.ParameterName + ":" + item.Value);

            }  

            Console.ReadKey();

        }

    }

}

转载:http://blog.csdn.net/xxs77ch/article/details/51513722

SQL参数化查询自动生成SqlParameter列表的更多相关文章

  1. SQL Server镜像自动生成脚本

    SQL Server镜像自动生成脚本 镜像的搭建非常繁琐,花了一点时间写了这个脚本,方便大家搭建镜像 执行完这个镜像脚本之后,最好在每台机器都绑定一下hosts文件,不然的话,镜像可能会不work 1 ...

  2. SQL参数化查询

    参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) ...

  3. SQL 参数化查询 应用于 Like

    在sql 进行参数化查询的时候,使用like 语句和参数的时候,错误的写法:  Participant like '%@Participant%' ,这样在数据库为解析为 '%'participant ...

  4. sql 参数化查询问题

    一.正确案例 string name=“梅”; string sql="select * from test where  Name  like @Name"; //包含 梅Sql ...

  5. sql 参数化查询

      在初次接触sql时,笔者使用的是通过字符串拼接的方法来进行sql查询,但这种方法有很多弊端 其中最为明显的便是导致了sql注入. 通过特殊字符的书写,可以使得原本正常的语句在sql数据库里可编译, ...

  6. SQL参数化查询--最有效可预防SQL注入攻击的防御方式

    参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值. 在使用参 ...

  7. SQL参数化查询的问题

    最近碰到个问题, SQL语句中的 "... like '%@strKeyword%'"这样写查不出结果, 非的写成 "... like '%" + strKey ...

  8. mybatis的sql参数化查询

    我们使用jdbc操作数据库的时候,都习惯性地使用参数化的sql与数据库交互.因为参数化的sql有两大有点,其一,防止sql注入:其二,提高sql的执行性能(同一个connection共用一个的sql编 ...

  9. 查询自动生成Guid列

    --newid()可以在查询的时候自动生成Guid列 ' ordey by Random --创建对应的列 用 uniqueidentifier 类型 IF NOT EXISTS ( SELECT * ...

随机推荐

  1. &lbrack;20140117&rsqb;疑似checkpoint堵塞数据库连接

    注:这个说法是不成立的,问题已经解决,但是无法正确的定位到具体什么原因:[20140702]奇怪的应用程序超时 背景: 开发通过应用程序的日志发现间歇性的出现,数据库连接超时 原因: 只能大概猜测,没 ...

  2. httpwebrequest 请求压缩,接受压缩的字符流请求

    请看图,客户端和服务端都使用gzip压缩. 客户端参数以json字符串形式gzip压缩,以二进制流发送到服务端:服务端接收到请求,解压缩gzip后,进行业务逻辑处理:处理完后在将返回值以json形式, ...

  3. 静态库 &amp&semi;&amp&semi; 动态库

    http://weihe6666.iteye.com/blog/1100065 http://www.cnblogs.com/skynet/p/3372855.html 静态库: 在链接阶段,将汇编生 ...

  4. 应用Java泛型和反射导出CSV文件

    项目中有需求要把数据导出为CSV文件,因为不同的类有不同的属性,为了代码简单,应用Java的泛型和反射,写了一个函数,完成导出功能. public <T> void saveFile(Li ...

  5. 关于js与php互相传值的介绍【转载&plus;自身总结】

    JS是前台的语言,PHP是后台的语言,初学时会经常出现前后台分不清的情况(我当初就是这样的,现在有时也在犯),我当初的想法是就把前后台当成两个岛,他们是无法跨越的,HTML就像一座桥,当你想要把一座岛 ...

  6. 对 sql server 数据库的备份进行加密

    原文:对 sql server 数据库的备份进行加密 嗯,最近在研究数据库备份相关的东西,考虑到应该为数据库备份加个密,就准备从网上搜索一下看看有什么好办法,没想到还挺乱... 首先,我从网上搜到的, ...

  7. IE6浏览器有哪些常见的bug&comma;缺陷或者与标准不一致的地方&comma;如何解决

    IE6不支持min-height,解决办法使用css hack: .target { min-height: 100px; height: auto !important; height: 100px ...

  8. Android WebView选择本地文件上传

    This sample demonstrate android webview choose file to upload. I just implement the client code ,the ...

  9. SignalR 实时推送消息

    业务场景 以前做过一个东西,就是当数据库有数据更新的时候,能够自动更新到前台,那时候signalr还没出现的时候,需要自己实现轮询读库,对于数据库和程序都是比较郁闷的事情.现在利用SignalR解决数 ...

  10. 测试那些事儿—postman入门介绍

    1.postman入门介绍 一款功能强大的网页调试与发送网页HTTP请求的工具. 1)模拟各种HTTP请求,如get,post,put,delete 2)测试集合Collection    Colle ...

相关文章