SQL参数化查询.添加不必要的参数
本文关键字:参数 不必要 添加 查询 SQL | 更新日期: 2023-09-27 17:59:47
我在项目中使用参数化查询来防止SQL注入,我遇到了一个有趣的查询场景。我有一个查询,它有时会比其他查询有更多的参数,即where子句更改。以下两个代码块在性能或其他方面有什么不同吗?此代码位于对象内部,因此"变量"是属性,并且两个方法都可以访问。
在这个例子中,我只在满足条件的情况下添加参数。
public bool TestQuery()
{
SqlCommand command = new SqlCommand();
string query = GetQuery(command);
command.CommandText = query;
//execute query and other stuff
}
private string GetQuery(SqlCommand command )
{
StringBuilder sb = new StringBuilder("SELECT * FROM SomeTable WHERE Active = 1 ");
if (idVariable != null)
{
sb.Append("AND id = @Id");
command.Parameters.Add("@Id", SqlDbType.Int).Value = idVariable;
}
if (!string.IsNullOrEmpty(colorVariable))
{
sb.Append("AND Color = @Color");
command.Parameters.Add("@Color", SqlDbType.NVarChar).Value = colorVariable;
}
if (!string.IsNullOrEmpty(sizeVariable))
{
sb.Append("AND Color = @Size");
command.Parameters.Add("@Size", SqlDbType.NVarChar).Value = sizeVariable;
}
return sb.ToString();
}
在本例中,我每次都添加所有参数,并且只有在满足条件时才添加where子句参数。
public bool TestQuery()
{
SqlCommand command = new SqlCommand(GetQuery());
command.Parameters.Add("@Id", SqlDbType.Int).Value = idVariable;
command.Parameters.Add("@Color", SqlDbType.NVarChar).Value = colorVariable;
command.Parameters.Add("@Size", SqlDbType.NVarChar).Value = sizeVariable;
//execute query and other stuff
}
private string GetQuery()
{
StringBuilder sb = new StringBuilder("SELECT * FROM SomeTable WHERE Active = 1 ");
if (idVariable != null)
sb.Append("AND id = @Id");
if (!string.IsNullOrEmpty(colorVariable))
sb.Append("AND Color = @Color");
if (!string.IsNullOrEmpty(sizeVariable))
sb.Append("AND Color = @Size");
return sb.ToString();
}
根据我做的测试,他们中的任何一个都会起作用。我个人更喜欢第二个,因为我觉得它更干净、更容易阅读,但我想知道是否有一些性能/安全原因,我不应该添加未使用的参数,这些参数可能是空字符串。
我想我会根据HABO的评论选择选项一,因为beargle的答案在我的情况下并不起作用。。