Oracle 在 C# 中的参数查询

在本文中，我们将介绍在 C# 中使用 Oracle 进行参数化查询的方法。参数化查询是一种安全和有效的数据库操作方式，能够防止 SQL 注入攻击，并提高查询性能。

什么是参数化查询

参数化查询是一种将用户提供的输入值与 SQL 语句分离的方法。通过将输入值绑定为查询的参数，而不是直接将其嵌入到 SQL 语句中，可以减少潜在的安全风险，并避免编译相同的 SQL 语句多次导致的性能问题。

在 C# 中，使用 Oracle 提供的 OracleCommand 对象进行参数化查询。通过在 SQL 语句中使用占位符（如 :paramName）来表示参数，然后将参数的值和类型绑定到 OracleCommand 对象中。

下面是一个示例：

string queryString = "SELECT * FROM employees WHERE salary > :minSalary";
using (OracleConnection connection = new OracleConnection(connectionString))
{
    OracleCommand command = new OracleCommand(queryString, connection);
    command.Parameters.Add(":minSalary", OracleDbType.Decimal).Value = 50000;

    connection.Open();

    OracleDataReader reader = command.ExecuteReader();
    while (reader.Read())
    {
        Console.WriteLine($"{reader["employee_name"]} - {reader["salary"]}");
    }
}

在上述示例中，我们使用了一个参数 minSalary，并将其绑定为 :minSalary 占位符。然后，我们将参数的值 50000 绑定到 command 对象的参数集合中。

参数类型

在 Oracle 中，参数的类型需要与数据库中列的类型匹配。可以使用 OracleDbType 枚举来指定参数的类型。常见的参数类型如下：

OracleDbType.Varchar2：字符串类型
OracleDbType.Decimal：数字类型
OracleDbType.Date：日期类型
OracleDbType.Blob：二进制数据类型
…

在设置参数值时，需要根据参数的类型进行适当的转换。例如，将字符串类型的参数值转换为 OracleString 类型，将数字类型的参数值转换为 OracleDecimal 类型。

输入参数和输出参数

除了输入参数外，参数化查询还支持输出参数，用于从数据库中获取返回值或存储过程的输出。对于输出参数，需要设置参数的方向为 ParameterDirection.Output，并在查询执行后通过参数的 Value 属性获取结果。

下面是一个示例：

string queryString = "BEGIN :result := GetEmployeeSalary(:employeeId); END;";
using (OracleConnection connection = new OracleConnection(connectionString))
{
    OracleCommand command = new OracleCommand(queryString, connection);
    command.Parameters.Add(":employeeId", OracleDbType.Int32).Value = 100;

    OracleParameter resultParameter = new OracleParameter(":result", OracleDbType.Decimal);
    resultParameter.Direction = ParameterDirection.Output;
    command.Parameters.Add(resultParameter);

    connection.Open();

    command.ExecuteNonQuery();

    decimal salary = (decimal)command.Parameters[":result"].Value;
    Console.WriteLine($"Employee's salary is: {salary}");
}

在上述示例中，我们使用了一个输出参数 result，并将其绑定为 :result 占位符。在查询执行后，我们通过参数的 Value 属性获取结果，并打印到控制台上。

需要注意的是，在使用输出参数时，需要在 SQL 语句中使用存储过程的语法，并使用 BEGIN ... END; 将 SQL 语句包裹起来。

防止 SQL 注入攻击

参数化查询是防止 SQL 注入攻击的有效方法。通过将用户的输入值作为参数传递给查询，而不是直接嵌入到 SQL 语句中，可以防止攻击者利用输入值产生恶意的 SQL 代码，并窃取或破坏数据库中的数据。

下面是一个示例，展示了如何使用参数化查询防止 SQL 注入攻击：

string userInput = "John'; DROP TABLE employees; --";
string queryString = "SELECT * FROM employees WHERE employee_name = :name";
using (OracleConnection connection = new OracleConnection(connectionString))
{
    OracleCommand command = new OracleCommand(queryString, connection);
    command.Parameters.Add(":name", OracleDbType.Varchar2).Value = userInput;

    connection.Open();

    OracleDataReader reader = command.ExecuteReader();
    while (reader.Read())
    {
        Console.WriteLine($"{reader["employee_name"]} - {reader["salary"]}");
    }
}

在上述示例中，我们接受用户的输入值 John'; DROP TABLE employees; --，并将其作为参数传递给查询。由于输入值被绑定为参数，即使输入值中包含特殊字符，也不会对查询产生影响，从而防止了 SQL 注入攻击。