如何重构这种方法?

分类:编程问答

如何解决如何重构这种方法?

| 
private void Update_Record_Click(object sender,EventArgs e)  
    {  
        ConnectionClass.OpenConnection();  

        if (textBox4.Text == \"\" && textBox2.Text == \"\")  
        {  
            MessageBox.Show(\"No value entred for update.\");  
        }  
        else if (textBox4.Text != \"\" && textBox2.Text != \"\")  
        {  
            SqlCommand cmd = new SqlCommand(\"update medicinerecord set quantity=\'\" + textBox2.Text + \"\' where productid=\'\"+comboBox1.Text+\"\'\",ConnectionClass.OpenConnection());  
            cmd.ExecuteNonQuery();  

            cmd = new SqlCommand(\"update myrecord set price=\'\" + textBox4.Text + \"\' where productid=\'\" + comboBox1.Text + \"\'\",ConnectionClass.OpenConnection());
            cmd.ExecuteNonQuery();
            ConnectionClass.CloseConnection();
        }
        else if (textBox2.Text != \"\")
        {
            SqlCommand cmd = new SqlCommand(\"update myrecord set quantity=\'\" + textBox2.Text + \"\' where productid=\'\" + comboBox1.Text + \"\'\",ConnectionClass.OpenConnection());
            cmd.ExecuteNonQuery();
            ConnectionClass.CloseConnection();
        }
        else if (textBox4.Text != \"\")
        {
            SqlCommand cmd = new SqlCommand(\"update myrecord set price=\'\" + textBox4.Text + \"\' where productid=\'\" + comboBox1.Text + \"\'\",ConnectionClass.OpenConnection());
            cmd.ExecuteNonQuery();
            ConnectionClass.CloseConnection();
        }  
}
它工作正常,但我想使其更短,以便于理解。我该如何重构?     

解决方法

如果您不了解应用程序特定部分的最新信息,则诸如“ 1”之类的语句根本没有任何意义。在这种情况下,似乎它们各自代表一个值,并且至少其中一个值应包含某种东西,以使任何操作合法。研究SQL语句表明,
textBox2
是数量,
textBox4
是价格。首先是将这些控件名称更改为更有意义的名称。 其次,我将检查包装到具有更多描述性名称的方法中: 
private bool HasPriceValue()
{
    return !string.IsNullOrEmpty(textBox4.Text);
}

private bool HasQuantityValue()
{
    return !string.IsNullOrEmpty(textBox2.Text);
}
然后可以这样重写if块: 
if (!HasPriceValue() && !HasQuantityValue())
{ 
    MessageBox.Show(\"No value entred for update.\"); 
}
else
{
    ConnectionClass.OpenConnection(); 
    if (HasQuantityValue())  
    {  
        SqlCommand cmd = new SqlCommand(\"update medicinerecord set quantity=\'\" + textBox2.Text + \"\' where productid=\'\"+comboBox1.Text+\"\'\",ConnectionClass.OpenConnection());  
        cmd.ExecuteNonQuery();  
    }
    if (HasPriceValue())
    {
        SqlCommand cmd = new SqlCommand(\"update myrecord set price=\'\" + textBox4.Text + \"\' where productid=\'\" + comboBox1.Text + \"\'\",ConnectionClass.OpenConnection());
        cmd.ExecuteNonQuery();
    }
    ConnectionClass.CloseConnection();
}
这样,您就不会在代码中重复执行SQL查询,并且很容易阅读代码并理解其作用。下一步将按照Darin的建议,重写SQL查询以使用参数代替串联字符串(这将打开代码以进行SQL注入攻击)。     ,免责声明:如Darin所建议,我对他的原始解决方案做了一些更改。布朗博士。 该代码很大的事实是最少的问题。您在这里使用SQL注入有更大的问题。您应该使用参数化查询来避免这种情况。 因此,我将从将数据访问逻辑外部化为单独的方法开始: 
public void UpdateMedicineRecordQuantity(string tableName,string attributeName,string productId,string attributeValue)
{
    using (var conn = new SqlConnection(\"YOUR ConnectionString HERE\"))
    using (var cmd = conn.CreateCommand())
    {
        conn.Open();
        cmd.CommandText = \"UPDATE \" + tableName + \"SET \" + attributeName+ \" = @attributeValue where productid = @productid\";
        cmd.Parameters.AddWithValue(\"@attributeValue\",attributeValue);
        cmd.Parameters.AddWithValue(\"@productid\",productId);
        cmd.ExecuteNonQuery();
    }
}
接着: 
string productId = comboBox1.Text;
string quantity = textBox2.Text;
UpdateMedicineRecordQuantity(\"medicinerecord\",\"quantity\",productId,quantity);
只要您不让用户为这两个参数提供输入,就可以使用\“ tableName \”和\“ attributeName \”作为SQL的动态部分没有安全问题。 您可以在其他情况下继续使用此方法。     ,为每个命令(在
if
语句内部)创建字符串(或字符串数​​组),如果字符串不为null,则随后运行sql。 [注意] 您不会在任何情况下都关闭连接 [/注意]     ,使代码“小”可能不是使其可读或“易于理解”的最佳方法。我发现比简洁的代码具有良好的质量,变量,方法,属性,类名等布局更好的代码,更难理解。 我认为更严重的问题不是代码的大小,而是您容易受到SQL Injection攻击的事实。 这是我写的一篇文章,可能对您有所帮助:SQL注入攻击以及有关如何防止它们的一些技巧 希望对您有所帮助。     ,您的代码正在等待SQL注入。当心\'ol约翰尼表。     ,除了使其更易于理解之外,您可能还希望对其进行重构,以使其更易于测试。 在这种情况下,可能需要摆脱“ 9”个单例(而是使用IoC并注入连接工厂)和MessageBox(例如,引发异常并让周围的代码确定如何显示此消息)     ,我对代码进行了一些简化和优化,并添加了一些注释。 
private void Update_Record_Click(object sender,EventArgs e)  
{  
    if (textBox4.Text == \"\" && textBox2.Text == \"\")
    {
        MessageBox.Show(\"No value entered for update.\");  
        return;
    }
    ConnectionClass.OpenConnection();  

    var cmd = new SqlCommand(\"update medicinerecord set quantity=\'\" + textBox2.Text + \"\' where productid=\'\" + comboBox1.Text + \"\'\",ConnectionClass.OpenConnection());
    cmd.ExecuteNonQuery();  

    cmd = null;
    if (textBox2.Text != \"\")
        cmd = new SqlCommand(\"update myrecord set quantity=\'\" + textBox2.Text + \"\' where productid=\'\" + comboBox1.Text + \"\'\",ConnectionClass.OpenConnection());
    else if (textBox4.Text != \"\")
        cmd = new SqlCommand(\"update myrecord set price=\'\" + textBox4.Text + \"\' where productid=\'\" + comboBox1.Text + \"\'\",ConnectionClass.OpenConnection());

    if (cmd != null) cmd.ExecuteNonQuery();
    ConnectionClass.CloseConnection();
}
如果只执行单行代码,则可以通过删除条件语句(例如ѭ8)上的花括号来立即简化代码。我为你做了。 在未先转义任何用户输入的使用变量之前,请勿使用字符串连接构建SQL语句。即,
update myrecord set price=\'\" + textbox4.Text + \"\'
..至少应为
update myrecord set price=\'\" + textbox4.Text.Replace(\"\'\",\"\'\'\")
..,以避免可能的SQL注入攻击。 除了测试
.Text == \"\"
之外,通常最好在.NET 4上使用
!string.IsNullOrEmpty()
!string.IsNullOrWhitespace()
来覆盖空字符串和空字符串。 将所有显式键入的数据类型替换为“ 17”。 最后,您可以简化代码,方法是在不满足验证条件时立即退出(如前两行所示),并在验证完成后在此方法的顶部和底部指定一个
OpenConnection()
CloseConnection()
。 还解决了拼写错误! :)     ,您可以使用参数,当您不想更新字段时可以将其设置为
NULL
UPDATE myrecord SET price = ISNULL(@price,price) -- MSSQL
然后,您可以使用
Command.Parameters.AddWithValue
方法根据文本字段执行一个命令。用
DBNull.Value
表示
NULL
。即使不更改结构,也应该这样做以防止SQL注入攻击。 干杯,马蒂亚斯     ,你可以看到 
 cmd.ExecuteNonQuery();                 
    ConnectionClass.CloseConnection();
是多余的,所以为什么不将它移到最后一个26示波器之后。     ,为什么不简单地再创建一个方法: 
void ExecuteCommand(string sql)
{
           SqlCommand cmd = new SqlCommand(sql);  
            cmd.ExecuteNonQuery();
            ConnectionClass.CloseConnection();
}
    

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

导入项目后报错问题
依赖报错 idea导入项目后依赖报错,解决方案:https://blog.csdn.net/weixin_42420249/article/details/81191861 依赖版本报错:更换其他版本 无法下载依赖可参考:https://blog.csdn.net/weixin_42628809/a
idea不能识别yaml文件
使用mybatis plus常见错误
错误1:代码生成器依赖和mybatis依赖冲突 启动项目时报错如下 2021-12-03 13:33:33.927 ERROR 7228 [ main] o.s.b.d.LoggingFailureAnalysisReporter : *************************** APPL
gradle常见问题与错误
错误1:gradle项目控制台输出为乱码 # 解决方案:https://blog.csdn.net/weixin_43501566/article/details/112482302 # 在gradle-wrapper.properties 添加以下内容 org.gradle.jvmargs=-Df
Mybatis Plus传入参数0不起作用
错误还原:在查询的过程中,传入的workType为0时,该条件不起作用 <select id="xxx"> SELECT di.id, di.name, di.work_type, di.updated... <where> <if test=&qu
linux中make编译源码包失败
报错如下,gcc版本太低 ^ server.c:5346:31: 错误:‘struct redisServer’没有名为‘server_cpulist’的成员 redisSetCpuAffinity(server.server_cpulist); ^ server.c: 在函数‘hasActiveC
微服务启动错误:Command line is too long. Shorten command line for
解决方案1 1、改项目中.idea/workspace.xml配置文件,增加dynamic.classpath参数 2、搜索PropertiesComponent,添加如下 <property name="dynamic.classpath" value="tru
vue常见错误
删除根组件app.vue中的默认代码后报错:Module Error (from ./node_modules/eslint-loader/index.js): 解决方案:关闭ESlint代码检测,在项目根目录创建vue.config.js,在文件中添加 module.exports = { lin
spark常见错误
查看spark默认的python版本 [root@master day27]# pyspark /home/software/spark-2.3.4-bin-hadoop2.7/conf/spark-env.sh: line 2: /usr/local/hadoop/bin/hadoop: No s
matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd import matplotlib.pyplot as plt # 设置字体 plt.rcParams['font.sans-serif'] = ['SimHei'] # 能正确显示负号 p
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:controller层有一个接口,访问该接口时报错:Request method ‘DELETE‘ not supported 错误原因:没有接收到前端传入的参数,修改为如下 参考 错误2:cannot r
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon: driver failed programming external connectivity on endpoint quirky_allen 解决方法:重启docker -> systemctl r
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Altʾnter快捷键,选择第2项 参考:https://blog.csdn.net/shi_hong_fei_hei/article/details/88814070 错误2:启动时报错,不能找到主启动类 #
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirement already satisfied: pip in c:\users\ychen\appdata\local\programs\python\python310\lib\site-packages (22.0.4) Coll
maven常见错误
错误1:maven打包报错 错误还原:使用maven打包项目时报错如下 [ERROR] Failed to execute goal org.apache.maven.plugins:maven-resources-plugin:3.2.0:resources (default-resources)
cloud项目中常见错误
错误1:服务调用时报错 服务消费者模块assess通过openFeign调用服务提供者模块hires 如下为服务提供者模块hires的控制层接口 @RestController @RequestMapping("/hires") public class FeignControl
springboot常见错误
错误1:运行项目后报如下错误 解决方案 报错2:Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.8.1:compile (default-compile) on project sb 解决方案:在pom.
springmvc拦截器中使用redisTemplate报空指针异常
参考 错误原因 过滤器或拦截器在生效时,redisTemplate还没有注入 解决方案:在注入容器时就生效 @Component //项目运行时就注入Spring容器 public class RedisBean { @Resource private RedisTemplate<String
vite报错:npm ERR! command C:WINDOWSsystem32cmd.exe /d /s /c C:UsersychenAppDataLocalTempnpx-dde1c848.cmd
使用vite构建项目报错 C:\Users\ychen\work>npm init @vitejs/app @vitejs/create-app is deprecated, use npm init vite instead C:\Users\ychen\AppData\Local\npm-
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot