asp.net SqlParameter 根据条件 有选择的添加参数

最新推荐文章于 2023-06-12 17:04:48 发布
最新推荐文章于 2023-06-12 17:04:48 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: asp.net/asp.net mvc/C# 文章标签: SqlParameter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anihasiyou/article/details/9042731
版权

SqlParameter带参数的增删改查语句,可以防止注入.有时候写sql语句的时候会根据方法传进来的参数来判断sql语句中where条件的参数.

一般方法

DAL层方法

public UserInfo GetAll(UserInfo a)
{
            string strSql = "select id,name,code,password from [tb].[dbo].[User] where 1=1";
            strSql += " and [id]=@id";
            strSql += " and [name]=@name";
            strSql += " and [code]=@code";
            strSql += " and [password]=@password";
            SqlParameter[] parameters = { 
					     new SqlParameter("@id", a.id)
                                             new SqlParameter("@name", a.name)
                                             new SqlParameter("@code", a.code), 
                                             new SqlParameter("@password", a.password)
                                 };
            SqlDataReader reader = SqlHelper.ExecuteReader(strSql, parameters);
            UserInfo hc = new UserInfo();
            while(reader.Read())
            {
                hc.id = reader.GetInt32(reader.GetOrdinal("id"));
                hc.name = reader.GetString(reader.GetOrdinal("name"));                
                hc.code = reader.GetString(reader.GetOrdinal("code"));
                hc.password = reader.GetString(reader.GetOrdinal("password"));
            }
            reader.Close();
            return hc;
}
现在想根据集合UserInfo内属性来添加SqlParameter参数

方法如下

DAL层方法

public UserInfo GetALL(UserInfo a)
{
            string strSql = "select id,name,code,password from [tb].[dbo].[User] where 1=1";
            if (a.id>0) strSql += " and [id]=@id";
            if (!string.IsNullOrEmpty(a.name)) strSql += " and [name]=@name";
            if (!string.IsNullOrEmpty(a.code)) strSql += " and [code]=@code";
            if (!string.IsNullOrEmpty(a.password)) strSql += " and [password]=@password";
            List<SqlParameter> parametertemp = new List<SqlParameter>();
            if (a.id > 0) parametertemp.Add(new SqlParameter("@id", a.id));
            if (!string.IsNullOrEmpty(a.name)) parametertemp.Add(new SqlParameter("@name", a.name));
            if (!string.IsNullOrEmpty(a.code)) parametertemp.Add(new SqlParameter("@code", a.code));
            if (!string.IsNullOrEmpty(a.password)) parametertemp.Add(new SqlParameter("@password", a.password));
            SqlParameter[] parameters = parametertemp.ToArray();//ToArray()方法将 List<T> 的元素复制到新数组中。
            
            SqlDataReader reader = SqlHelper.ExecuteReader(strSql, parameters);
            UserInfo hc = new UserInfo();
            while (reader.Read())
            {
                hc.id = reader.GetInt32(reader.GetOrdinal("id"));
                hc.name = reader.GetString(reader.GetOrdinal("name"));                
                hc.code = reader.GetString(reader.GetOrdinal("code"));
                hc.password = reader.GetString(reader.GetOrdinal("password"));
            }
            reader.Close();
            return hc;
 }


DBUtility层SqlHelper

public SqlDataReader ExecuteReader(string query, params SqlParameter[] parameters)
        {        
		SqlConnString = GetConnect2();
		SqlConnString.Open();
		SqlCommand SqlCmd = new SqlCommand(); 
		SqlCmd.Connection = SqlConnString; 
		SqlCmd.CommandText = query; 
		//SqlCmd.Parameters.AddRange(parameters);//AddRange()不能传空参数组
		//params 的意思就是允许传空参数组
		foreach (SqlParameter item in parameters) 
		{ 
			SqlCmd.Parameters.Add(item); 
		} 
		SqlDataReader dr; 
		try 
		{ 
			dr = SqlCmd.ExecuteReader(CommandBehavior.CloseConnection);
 			return dr; 
		} 
		catch (Exception ee) 
		{ 
			SqlConnString.Close();
 			throw ee; 
		} 
	}



anihasiyou
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SqlParameter集合数组中添加参数——SQLHelp对数据访问层的优化(一)
李黎敏 ——为优秀j2ee架构师而努力
01-03 5306
这是今天下午忙活半天的成果,但不管怎样吧还是达到了想要的目的:通过集合数据自动添加SqlParameter参数到Command命令中。 思路很明确,也很简单,大致的可以分两步。 第一步,将用户输入的存储过程参数写入到一个SqlParameter集合数组中; 第二步,将SqlParameter集合数组中的参数元素导入到Command命令的Parameters集合中。 接下来要做的是分别实现这
asp.net SqlParameter如何根据条件选择添加参数
01-02
有时候写sql语句的时候会根据方法传进来的参数来判断sql语句中where条件参数. 一般方法 DAL层方法 代码如下: public UserInfo GetAll(UserInfo a) { string strSql = “select id,name,code,password from [tb]....
【jsp】兴唐第三十节课作业
tyrantForever的博客
07-21 130
写一个jsp调取数据库的文件显示在主页面,并实现查找、添加、删除和数据更新以及用户登录的功能 stuList.jsp <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ page import = "java.sql.*" %> &...
进程间通信(IPC)
最新发布
BSY丶的博客
06-12 239
1、创建映射区的过程中,隐含着一次对映射文件的【读操作】2、当MAP_SHARED映射区的权限应该
java模糊查询中文没用_java中模糊查询无效
weixin_32008105的博客
02-25 511
如题,我用这个模糊查询什么结果都查不到,在数据库执行这条语句是可以的,帮忙找下原因,会不会跟connection类型有关Stringsql="selectid,user_umber,meter_number,name,address,cou...如题,我用这个模糊查询什么结果都查不到,在数据库执行这条语句是可以的,帮忙找下原因,会不会跟connection类型有关String sql = "sel...
SqlParameter参数应用
学过印刷包装工程研究过食品科学且会点计算机编程的多功能码农
10-17 2733
【方法一】 SqlParameter[] prams =//创建参数数组                               {                                 new SqlParameter("@id", SqlDbType.VarChar, 8),                                 new SqlParameter
asp.net SqlParameter关于Like的传参数无效问题
01-02
SqlParameter[] parameters = { new SqlParameter(“@Name”, searchName) }; 但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql参数...
表值参数SQL Server 2008和ASP.NET
04-05
SQL Server 2008和ASP.NET的环境中,表值参数(Table-Valued Parameters,简称TVPs)是一种非常实用的数据传输机制,尤其在处理大量数据时,它可以提高性能并简化代码。表值参数允许开发人员将一组数据作为单个...
ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx
05-20
例如,在 ASP.NET 中,我们可以使用 SqlParameter 对象来参数化查询语句,从而防止恶意的 SQL 代码。 2. 传统的笨一点的办法 如果我们不想使用参数法防注入,可以使用传统的笨一点的办法。这种方法是通过在 Global...
sqlhelper,c#
lzmings的专栏
04-26 379
1.传入参数数量,生成Sql参数 /// /// 生成Sql参数 /// /// /// public static SqlParameter[] CreateParameter(int paramCount) { SqlParameter[] param = new
动态添加SqlParameter
mituan1234567的专栏
01-09 981
http://www.gkxsn.com/6342701637471875001.html 动态向SqlParameter添加相应参数,方法如下 先定义一个List,然后再往List里面添加SqlParameter对象,然后将List转为SqlParameter数组即可   List ilist = new List();              ilist.Add(new Sql
asp.net C#命名参数SqlParameter详解
仰望星空的博客
12-31 1659
本文转载自“zky0901”
SqlParameter内动态添加参数
lisky119的专栏
06-09 9897
SqlParameter内动态添加参数 动态向SqlParameter 里添加相应参数,方法如下 先定义一个List,然后再往List里面添加SqlParameter对象,然后将List转为SqlParameter数组即可 List ilistStr = new List();              ilistStr.Add(new SqlPara
asp.netsqlparameter 的使用
学习也休闲
10-28 2049
sqlparameter   命名空间: System.Data.SqlClient 程序集: System.Data(在 system.data.dll 中)   构造函数   public SqlParameter ( string parameterName, SqlDbType dbType, int size, ParameterDirectio
SqlParameter数组添加
Better Thinker
05-23 7380
protected void Button1_Click(object sender, EventArgs e) { string strSql="insert into Invoice_Rebate_Customer_L (FORM_ID,LINE_NO) values (@formNo,@lineNo)"; SqlParameter[]
SqlParameter[] 添加参数
weixin_34081595的博客
06-17 535
以前一直是在new的时候直接指定 SqlParameter[] parms = new SqlParameter[]{ new SqlParameter('@id','id'), new SqlParameter('@name','name') }; 现在需要根据条件判断需要添加哪些参数开始以为可以像List那样使用Add方法,发现SqlParameter[]不支持 于是采用以...
asp.net sqlserver 组合条件查询
05-09
ASP.NET 中,可以使用 SQL Server 数据库的查询语句来实现组合条件查询。下面是一个示例代码,可以根据不同的条件来组合查询: ```csharp protected void btnSearch_Click(object sender, EventArgs e) { // ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值