参数化SQL语句SqlParameter

避免SQL注入的方法有两种：一是所有的SQL语句都存放在存储过程中，这样不但可以避免SQL注入，还能提高一些性能，并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理（这种做法我在一些公司见过），不过这种做法有时候针对相同的几个表有不同条件的查询，SQL语句可能不同，这样就会编写大量的存储过程，所以有人提出了第二种方案：参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户，那么通常情况下我们的SQL语句可能是这样：


select * from UserInfo where sex=0
在参数化SQL语句中我们将数值以参数化的形式提供，对于上面的查询，我们用参数化SQL语句表示为：



select * from UserInfo where sex=@sex
我们再对代码中对这个SQL语句中的参数进行赋值，假如我们要查找UserInfo表中所有年龄大于30岁的男性用户，这个参数化SQL语句可以这么写：


select * from UserInfo where sex=@sex and age>@age
下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码：

C# code

   
   

    
    
    
    //
    
    实例化Connection对象 
    
    

    
    SqlConnection connection 
    
    =
    
     
    
    new
    
     SqlConnection(
    
    "
    
    Data Source=(local);Initial Catalog=AspNetStudy;Persist Security Info=True;User ID=sa;Password=sa
    
    "
    
    ); 

    
    //
    
    实例化Command对象 
    
    

    
    SqlCommand command 
    
    =
    
     
    
    new
    
     SqlCommand(
    
    "
    
    select * from UserInfo where sex=@sex and age>@age
    
    "
    
    , connection); 

    
    //
    
    第一种添加查询参数的例子 
    
    

    
    command.Parameters.AddWithValue(
    
    "
    
    @sex
    
    "
    
    , 
    
    true
    
    ); 

    
    //
    
    第二种添加查询参数的例子 
    
    

    
    SqlParameter parameter 
    
    =
    
     
    
    new
    
     SqlParameter(
    
    "
    
    @age
    
    "
    
    , SqlDbType.Int);
    
    //
    
    注意UserInfo表里age字段是int类型的 
    
    

    
    parameter.Value 
    
    =
    
     
    
    30
    
    ; 
command.Parameters.Add(parameter);
    
    //
    
    添加参数 


    
    //
    
    实例化DataAdapter 
    
    

    
    SqlDataAdapter adapter 
    
    =
    
     
    
    new
    
     SqlDataAdapter(command); 
DataTable data 
    
    =
    
     
    
    new
    
     DataTable();