利用formatter原理自動化參數化查詢

来源:http://www.cnblogs.com/jsonxu/archive/2017/05/27/Jsoe.html
-Advertisement-
Play Games

前言:對於經常忙於服務端開發的小伙伴來說,與DB層打交道是在正常不過的事了,但是每次頁面的查詢條件新增往往意味著後端代碼參數化同比增長,當然你可以不使用sqlhelper自帶的參數化條件查詢,可以直接傳遞參數,這樣一來,可能你寫的代碼就變少了,但是存在一個隱藏的問題就是sql註入,對於sql註入我想 ...


前言:對於經常忙於服務端開發的小伙伴來說,與DB層打交道是在正常不過的事了,但是每次頁面的查詢條件新增往往意味著後端代碼參數化同比增長,當然你可以不使用sqlhelper自帶的參數化條件查詢,可以直接傳遞參數,這樣一來,可能你寫的代碼就變少了,但是存在一個隱藏的問題就是sql註入,對於sql註入我想大家都並不陌生,相關資源和預防措施網上千篇一律,有興趣可以自己去瞭解,常用的註入工具是sqlmapper,有興趣的可以一併去瞭解。

那麼你寫代碼既要保持代碼的優雅,語句條數的少量,有想要保證代碼的安全性能,不被輕易註入,有沒有一種2種都能相容的方式呢,在對於一般習慣拘泥於原有代碼思維的人來看,可能並沒有,但是習慣於從不同角度思考問題的人來說,條條大路通羅馬,比如我下麵說的這種就是基於.NET 自帶的stirngfromatter原理來實現的一種自動化參數化查詢~~

由於口頭表述不是很好,我直接貼圖來說明瞭,請看

這是原先的參數化查詢

 1 public PayOrderEntity GetPayOrderInfoById(int id)
 2         {
 3             PayOrderEntity parorderModel = new PayOrderEntity();
 4             List<SqlParameter> paramList = new List<SqlParameter>();
 5             string sql = @"select p.Id as pid
 6                     ,c.Id
 7                     ,c.UserId
 8                     ,p.OrderId
 9                     ,p.TransactionId
10                     ,p.PayType
11                     ,c.TotalPrice as orderprice
12                     ,p.TotalPrice as payprice
13                     ,c.[Status] as orderstatus
14                     ,p.[Status] as paystatus
15                     ,c.CreateTime 
16                     ,p.PayTime
17                     ,c.Remark as orderremark
18                     ,p.Remark as payremark
19                     from t_ContentOrder(nolock) c
20                     left join t_Payment(nolock) p
21                     on c.Id=p.OrderId where c.IsDeleted=0 and  p.IsDeleted=0 and p.Id= {0}";
22             paramList.Add(new SqlParameter("@id", id));
23             try
24             {
25                 var dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, sql, paramList.ToArray());
26 
27                 //使用重寫後的DB驅動查詢方法調用  by:xuja  2017-05-27 10:34:19
28                 //var dt = SqlQuery(sql, id);
29 
30 
31                 parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[0]);
32             }
33             catch (Exception ex)
34             {
35                 Core.Log.TraceLogger.Error(ex);
36             }
37             return parorderModel;
38         }
View Code

 

步驟一 先實例化一個sqlparams實體

步驟二 將滿足條件的參數傳入定義好的參數實體並賦值(可能需要條件驗證)

步驟三 將填充完成後的參數對象傳入調用的sqlhelper查詢介面中

這樣四步即可實現整個查詢流程

看著流程也並不複雜,但是大家想過一個問題沒,如果一個頁面有6個以上的查詢條件,是不是定義起來會很吃力,這種感覺我相信大家都會有,我也不列外 囧 ,接下來利用formatter原理我們在看看重構後的參數化查詢代碼

 1 /// <summary>
 2         /// sql參數自動化拼接方法
 3         /// 創建人:xujiangan
 4         /// 2017-05-27 10:35:40
 5         /// </summary>
 6         /// <param name="sqlCommand">需要查詢的sql</param>
 7         /// <param name="param">需要拼接的參數列表</param>
 8         /// <returns></returns>
 9         public Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param)
10         {
11             var tempKVDic = param.Select((item, i) => new KeyValuePair<string, object>("@an" + i, item)).ToDictionary(k => k.Key, v => v.Value);
12 
13             var tempSqlCommand = string.Format(sqlCommand, tempKVDic.Keys.ToArray());
14 
15             var tempParams = tempKVDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray();
16 
17             return Tuple.Create(tempSqlCommand, tempParams);
18         }
View Code

 

方法的返回值因為不確定到具體類型,所以用了元組來定義了,元組的能力類似於dynamic T類型,這裡就不多介紹了,參數的條件只有2個,1.要執行查詢的sql語句 2.需要傳遞的參數化條件

代碼邏輯:1.將參數列表利用鍵值對的方法一一對應組合,參數可以自動增長,組成參數列表字典;2.使用format方法將sql語句和參數字典拼接;3.將拼接好的查詢字元串返回給調用方

原先介面並沒有這次參數條件的重載 接下來,我們還學要重寫一下sqlhelper執行查詢的介面,如下:

 1  /// <summary>
 2         /// 重寫ExcuteQuery方法,便於自動話添加參數
 3         /// 創建人:xujiangan
 4         /// 2017-05-27 10:35:07
 5         /// </summary>
 6         /// <param name="sqlCommand">執行sql語句</param>
 7         /// <param name="param">需要新增的查詢參數</param>
 8         /// <returns></returns>
 9         public DataSet SqlQuery(string sqlCommand, params object[] param)
10         {
11             var dt = new DataSet();
12             if (param == null || param.Length == 0)
13             {
14                 dt = SqlHelper.ExecuteDataset(write_connstring, sqlCommand, CommandType.Text);
15             }
16 
17             var temp = ProcessSqlCommand(sqlCommand, param);
18 
19             dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, temp.Item1, temp.Item2);
20 
21             //object entity = DbTableConvertor<object>.ConvertToEntity(dt.Tables[0]);
22 
23             return dt;
24         }
View Code

 

代碼大家都能看懂,無非就是有參和無參兩種情況做了區分,我就不解釋了...

俗話說,欲善其事,必先利其器,有了上面的準備之後,我們就可以調用我們剛纔重寫的介面啦

調用請看下麵:

 1   public PayOrderEntity GetPayOrderInfoById(int id)
 2         {
 3             PayOrderEntity parorderModel = new PayOrderEntity();
 4             string sql = @"select p.Id as pid
 5                     ,c.Id
 6                     ,c.UserId
 7                     ,p.OrderId
 8                     ,p.TransactionId
 9                     ,p.PayType
10                     ,c.TotalPrice as orderprice
11                     ,p.TotalPrice as payprice
12                     ,c.[Status] as orderstatus
13                     ,p.[Status] as paystatus
14                     ,c.CreateTime 
15                     ,p.PayTime
16                     ,c.Remark as orderremark
17                     ,p.Remark as payremark
18                     from t_ContentOrder(nolock) c
19                     left join t_Payment(nolock) p
20                     on c.Id=p.OrderId where c.IsDeleted=0 and  p.IsDeleted=0 and p.Id= {0}";
21             try
22             {
23                 //使用重寫後的DB驅動查詢方法調用  by:xuja  2017-05-27 10:34:19
24                 var dt = SqlQuery(sql, id);
25                 parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[0]);
26             }
27             catch (Exception ex)
28             {
29                 Core.Log.TraceLogger.Error(ex);
30             }
31             return parorderModel;
32         }
View Code

 

是不是發現少了什麼?沒錯,我們此時不再需要定義繁雜的sqlparams對象拉,直接傳遞參數即可,有多少傳多少,如果太多可以定義數組或者參數實體傳遞哦~


PS:註意sql代碼語句中參數位置改為占位符!!!

到此為止,整個自動化參數化查詢基本上就結束了,有問題可以給我留言指出,共勉


項目目前已經應用到 admin.kk.net 支付訂單詳情頁面查詢,經多番測試,並沒有發現什麼問題,看來是可以用的。


建議sql代碼大小寫一致,保持只解析一次。


高山仰止,景行行止

by:Jsonxu


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • JavaScript中的運算符分為以下幾類: 算術運算符 比較運算符 邏輯運算符 賦值運算符 1. 算術運算符 算術運算符用於執行變數與/或值之間的算術運算。 給定 y=5,下麵的表格解釋了這些算術運算符: 註意點: a. 自增和自減 遞增和遞減運算符可以放在變數前也可以放在變數後: 當放在變數前, ...
  • Promise 是什麼 Promise是非同步編程的一種解決方案。Promise對象表示了非同步操作的最終狀態(完成或失敗)和返回的結果。 其實我們在jQuery的ajax中已經見識了部分Promise的實現,通過Promise,我們能夠將回調轉換為鏈式調用,也起到解耦的作用。 怎麼用 Promise接 ...
  • vue-cli+webpack在生成的項目中使用bootstrap方法(一)中,是通過手動下載bootstrap庫,然後手動添加到src/assets中,顯然是過程太多。 當然是可以更省力些,可以通過npm安裝bootstrap,然後用import直接導入bootstrap的方式進行整合,因為vue ...
  • 轉載請註明:http://www.cnblogs.com/igoslly/p/6911165.html 由於最近廢寢忘食地在開發App,沒來得及及時做總結,沒有用很高級的部件,勉強也使用一些功能完成了自己的第一個App,撒花~~~ 接下來都是自己在開發中使用後的一些經驗,也是和他人學習實踐後的成果, ...
  • 概述 本篇為《React Native之React速學教程》的第一篇。本篇將從React的特點、如何使用React、JSX語法、組件(Component)以及組件的屬性,狀態等方面進行講解。 What’s React React是一個用於組建用戶界面的JavaScript庫,讓你以更簡單的方式來創建 ...
  • 本文出處:http://www.cnblogs.com/wy123/p/6910468.html 感覺最近sql也沒少寫,突然有一點生疏了,對於用的不是太頻繁的一些操作,時間一久就容易生。 多行的某一個列合併成一個列 另外是一個相反的操作,藉助上面合併之後的結果,將一個多個值的字元串列拆分開來,轉換 ...
  • $0 當前腳本的文件名 $n n為一個從1開始的數字,$1代表第一個參數,$2代表第二個參數,${10}代表第十個參數 $* 全部位置參數(所有參數作為一個字元串) $@ 全部位置參數(每個參數作為一個獨立的字元串) $# 傳入腳本的參數個數 $_ 上一個命令的最後一個參數 $? 上一個命令的返回值... ...
  • 首先先瞭解一下ef生成的模型edmx的代碼,傳送門:http://www.cnblogs.com/yushengbo/p/4807715.html 一、添加新的欄位 例子就用我現在項目的這個吧,首先在edmx中的表裡新建一個欄位: 然後設置他的屬性什麼別的內容,之後在表格所示範圍內點擊右鍵,選擇在模 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...