文档章节

利用formatter原理自动化参数化查询

_Jsonxu
 _Jsonxu
发布于 2017/05/27 14:26
字数 1510
阅读 130
收藏 10

前言:对于经常忙于服务端开发的小伙伴来说,与DB层打交道是在正常不过的事了,但是每次页面的查询条件新增往往意味着后端代码参数化同比增长,当然你可以不使用sqlhelper自带的参数化条件查询,可以直接传递参数,这样一来,可能你写的代码就变少了,但是存在一个隐藏的问题就是sql注入,对于sql注入我想大家都并不陌生,相关资源和预防措施网上千篇一律,有兴趣可以自己去了解,常用的注入工具是sqlmapper,有兴趣的可以一并去了解。

那么你写代码既要保持代码的优雅,语句条数的少量,有想要保证代码的安全性能,不被轻易注入,有没有一种2种都能兼容的方式呢,在对于一般习惯拘泥于原有代码思维的人来看,可能并没有,但是习惯于从不同角度思考问题的人来说,条条大路通罗马,比如我下面说的这种就是基于.NET 自带的stirngfromatter原理来实现的一种自动化参数化查询~~

由于口头表述不是很好,我直接贴图来说明了,请看

这是原先的参数化查询

public PayOrderEntity GetPayOrderInfoById(int id)
        {
            PayOrderEntity parorderModel = new PayOrderEntity();
            List<SqlParameter> paramList = new List<SqlParameter>();
            string sql = @"select p.Id as pid
                    ,c.Id
                    ,c.UserId
                    ,p.OrderId
                    ,p.TransactionId
                    ,p.PayType
                    ,c.TotalPrice as orderprice
                    ,p.TotalPrice as payprice
                    ,c.[Status] as orderstatus
                    ,p.[Status] as paystatus
                    ,c.CreateTime 
                    ,p.PayTime
                    ,c.Remark as orderremark
                    ,p.Remark as payremark
                    from t_ContentOrder(nolock) c
                    left join t_Payment(nolock) p
                    on c.Id=p.OrderId where c.IsDeleted=0 and  p.IsDeleted=0 and p.Id= {0}";
            paramList.Add(new SqlParameter("@id", id));
            try
            {
                var dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, sql, paramList.ToArray());

                //使用重写后的DB驱动查询方法调用  by:xuja  2017-05-27 10:34:19
                //var dt = SqlQuery(sql, id);


                parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[0]);
            }
            catch (Exception ex)
            {
                Core.Log.TraceLogger.Error(ex);
            }
            return parorderModel;
        }

步骤一 先实例化一个sqlparams实体

步骤二 将满足条件的参数传入定义好的参数实体并赋值(可能需要条件验证)

步骤三 将填充完成后的参数对象传入调用的sqlhelper查询接口中

这样四步即可实现整个查询流程

看着流程也并不复杂,但是大家想过一个问题没,如果一个页面有6个以上的查询条件,是不是定义起来会很吃力,这种感觉我相信大家都会有,我也不列外 囧 ,接下来利用formatter原理我们在看看重构后的参数化查询代码

/// <summary>
        /// sql参数自动化拼接方法
        /// 创建人:xujiangan
        /// 2017-05-27 10:35:40
        /// </summary>
        /// <param name="sqlCommand">需要查询的sql</param>
        /// <param name="param">需要拼接的参数列表</param>
        /// <returns></returns>
        public Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param)
        {
            var tempKVDic = param.Select((item, i) => new KeyValuePair<string, object>("@an" + i, item)).ToDictionary(k => k.Key, v => v.Value);

            var tempSqlCommand = string.Format(sqlCommand, tempKVDic.Keys.ToArray());

            var tempParams = tempKVDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray();

            return Tuple.Create(tempSqlCommand, tempParams);
        }

方法的返回值因为不确定到具体类型,所以用了元组来定义了,元组的能力类似于dynamic T类型,这里就不多介绍了,参数的条件只有2个,1.要执行查询的sql语句 2.需要传递的参数化条件

代码逻辑:1.将参数列表利用键值对的方法一一对应组合,参数可以自动增长,组成参数列表字典;2.使用format方法将sql语句和参数字典拼接;3.将拼接好的查询字符串返回给调用方

原先接口并没有这次参数条件的重载 接下来,我们还学要重写一下sqlhelper执行查询的接口,如下:

/// <summary>
        /// 重写ExcuteQuery方法,便于自动话添加参数
        /// 创建人:xujiangan
        /// 2017-05-27 10:35:07
        /// </summary>
        /// <param name="sqlCommand">执行sql语句</param>
        /// <param name="param">需要新增的查询参数</param>
        /// <returns></returns>
        public DataSet SqlQuery(string sqlCommand, params object[] param)
        {
            var dt = new DataSet();
            if (param == null || param.Length == 0)
            {
                dt = SqlHelper.ExecuteDataset(write_connstring, sqlCommand, CommandType.Text);
            }

            var temp = ProcessSqlCommand(sqlCommand, param);

            dt = SqlHelper.ExecuteDataset(write_connstring, CommandType.Text, temp.Item1, temp.Item2);

            //object entity = DbTableConvertor<object>.ConvertToEntity(dt.Tables[0]);

            return dt;
        }

 

代码大家都能看懂,无非就是有参和无参两种情况做了区分,我就不解释了...

俗话说,欲善其事,必先利其器,有了上面的准备之后,我们就可以调用我们刚才重写的接口啦

调用请看下面:

public PayOrderEntity GetPayOrderInfoById(int id)
        {
            PayOrderEntity parorderModel = new PayOrderEntity();
            string sql = @"select p.Id as pid
                    ,c.Id
                    ,c.UserId
                    ,p.OrderId
                    ,p.TransactionId
                    ,p.PayType
                    ,c.TotalPrice as orderprice
                    ,p.TotalPrice as payprice
                    ,c.[Status] as orderstatus
                    ,p.[Status] as paystatus
                    ,c.CreateTime 
                    ,p.PayTime
                    ,c.Remark as orderremark
                    ,p.Remark as payremark
                    from t_ContentOrder(nolock) c
                    left join t_Payment(nolock) p
                    on c.Id=p.OrderId where c.IsDeleted=0 and  p.IsDeleted=0 and p.Id= {0}";
            try
            {
                //使用重写后的DB驱动查询方法调用  by:xuja  2017-05-27 10:34:19
                var dt = SqlQuery(sql, id);
                parorderModel = DbTableConvertor<PayOrderEntity>.ConvertToEntity(dt.Tables[0]);
            }
            catch (Exception ex)
            {
                Core.Log.TraceLogger.Error(ex);
            }
            return parorderModel;
        }

 

是不是发现少了什么?没错,我们此时不再需要定义繁杂的sqlparams对象拉,直接传递参数即可,有多少传多少,如果太多可以定义数组或者参数实体传递哦~

PS:注意sql代码语句中参数位置改为占位符!!!

到此为止,整个自动化参数化查询基本上就结束了,有问题可以给我留言指出,共勉

项目目前已经应用到 admin.kk.net 支付订单详情页面查询,经多番测试,并没有发现什么问题,看来是可以用的。

建议sql代码大小写一致,保持只解析一次。

高山仰止,景行行止

by:Jsonxu

© 著作权归作者所有

_Jsonxu

_Jsonxu

粉丝 1
博文 8
码字总数 33770
作品 0
南京
高级程序员
私信 提问
Web APi之手动实现JSONP或安装配置Cors跨域(七)

前言 照理来说本节也应该讲Web API原理,目前已经探讨完了比较底层的Web API消息处理管道以及Web Host寄宿管道,接下来应该要触及控制器、Action方法,以及过滤器、模型绑定等等,想想也是心...

jeffcky
2015/09/25
0
0
集成 Jenkins 和 TestNG 实现自助式自动化测试平台

背景介绍 在软件业十分成熟的今天,敏捷(Agile)开发在业界日益流行,而面临的挑战也日益增多,不断变化的用户需求、缩短的开发周期、频繁的部署上线、复杂的产品架构和团队组织,如何继续保...

RainyZou
2016/03/04
94
1
天云大数据完成一亿元人民币增资 PaaS化AI平台降低人工智能使用门槛

雷锋网(公众号:雷锋网)6月13日消息,天云大数据产品发布暨渠道招募会在京举行,会上天云大数据CEO雷涛首次公布天云大数据已于今年上半年完成1亿人民币增资,由曦域资本、华映资本领投。 据雷...

张帅
2018/06/13
0
0
关于自动化测试框架的思想和考虑

接触过自动化测试的,应该对这几种自动化测试框架思想有所了解:模块化思想、库思想、数据驱动思想、关键字驱动思想 简单说说,我自己对目前自动化测试的一些想法 最初自动化测试依靠的是传统...

fiawfo
2016/11/25
129
0
关于对象的序列化

Serialization是.NET中一种实现对象持久性(Persistent)的机制。它是一个将对象中的数据转换成一个单一元素(通常是Stream)的过程。它的逆过程是Deserialization。Serialization的核心概念...

zting科技
2017/01/12
0
0

没有更多内容

加载失败,请刷新页面

加载更多

android6.0源码分析之Camera API2.0下的Preview(预览)流程分析

本文将基于android6.0的源码,对Camera API2.0下Camera的preview的流程进行分析。在文章android6.0源码分析之Camera API2.0下的初始化流程分析中,已经对Camera2内置应用的Open即初始化流程进...

天王盖地虎626
12分钟前
0
0
java 序列化和反序列化

1. 概述 序列恢复为Java对象的过程。 对象的序列化主要有两 首先我们介绍下序列化和反序列化的概念: 序列化:把Java对象转换为字节序列的过程。 反序列化:把字节序列恢复为Java对象的过程。...

edison_kwok
24分钟前
0
0
分布式数据一致性

狼王黄师傅
今天
1
0
经验

相信每位开发者在自己开发的过程中,都会反思一些问题,比如怎样提高编程能力、如何保持心态不砍产品经理、996 之后怎样恢复精力……最近开发者 Tomasz Łakomy 将他 7 年的开发生涯中学习到...

WinkJie
今天
4
0
从源码的角度来看SpringMVC

SpringMVC核心流程图 简单总结 首先请求进入DispatcherServlet 由DispatcherServlet 从HandlerMappings中提取对应的Handler 此时只是获取到了对应的Handle,然后得去寻找对应的适配器,即:H...

骚年锦时
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部