SQL 中的存储过程

Question

我很了解 SQL 语句，例如 select、insert、update 和 delete。不过我对存储过程很陌生。

我正在使用 SQL Management Studio Express。

有代码示例吗？例如，注册，一个将客户数据保存在数据库中的存储过程。

Answer 1

使用存储过程而不是嵌入式 SQL 的最好的一点是，如果操作得当，它们会为数据库提供一个独立于客户端代码的可版本控制的接口。它将 SQL 从客户端代码库中取出，这意味着只要外部接口不变：参数、结果集等，DBA 就可以自由调整查询，甚至完全重塑数据库模式，而无需更改客户端软件。

它还极大地简化了安全性。客户端不需要授予基础表本身的权限。他们所需要的只是对存储过程进行授予执行。

如果您所做的只是编写一个包含简单插入/更新/删除语句的存储过程，那么您实际上并没有取得多大成就。存储过程应该代表更多的逻辑操作。

请记住，任何真正的数据库都会比用于访问它的软件寿命更长。数据是永恒的；软件是暂时的。

Answer 2

您可以使用 参数化查询 避免 SQL 注入 - 存储过程并不是唯一的方法。

Answer 3

不错的文章此处解释了如何避免 SQL 注入攻击。阅读附加注意事项。

最简单的方法是将所有查询参数化，如下所示

using (SqlConnection connection = new SqlConnection(connectionString))
{
  DataSet userDataset = new DataSet();
  SqlDataAdapter myCommand = new SqlDataAdapter( 
             "LoginStoredProcedure", connection);
  myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;
  myCommand.SelectCommand.Parameters.Add("@au_id", SqlDbType.VarChar, 11);
  myCommand.SelectCommand.Parameters["@au_id"].Value = SSN.Text;

  myCommand.Fill(userDataset);
}

Answer 4

这是您请求的示例：

CREATE PROCEDURE MyTeste(@MyParam INT)
AS BEGIN
    SELECT * FROM MyTable WHERE CodTable = @MyParam;
END;

要从另一个位置调用它并传递 5 作为参数，请执行以下操作：

EXEC MyTeste 5;