1.SqlParameter表示SqlCommand的参数,也可以是他到DataSet列的映射 到目前为止,我只理解了前半句话,SqlParameter类型的数组作为SqlCommand的参数存在,配合转义字符@,可以有效的防止' or 1=1--单引号而截断字符串,这一经典的注入语句,有效提高拼接型sql命令的安全性。 例: #region 传入参数并且转换为SqlParameter类型 /// <summary> /// 转换参数 /// </summary> /// <param name="ParamName">存储过程名称或命令文本</param> /// <param name="DbType">参数类型</param></param> /// <param name="Size">参数大小</param> /// <param name="Value">参数值</param> /// <returns>新的 parameter 对象</returns> public SqlParameter MakeInParam(string ParamName, SqlDbType DbType, int Size, object Value) { return MakeParam(ParamName, DbType, Size, ParameterDirection.Input, Value); } /// <summary> /// 初始化参数值 /// </summary> /// <param name="ParamName">存储过程名称或命令文本</param> /// <param name="DbType">参数类型</param> /// <param name="Size">参数大小</param> /// <param name="Direction">参数方向</param> /// <param name="Value">参数值</param> /// <returns>新的 parameter 对象</returns> public SqlParameter MakeParam(string ParamName, SqlDbType DbType, Int32 Size, ParameterDirection Direction, object Value) { SqlParameter param; if (Size > 0) param = new SqlParameter(ParamName, DbType, Size); else param = new SqlParameter(ParamName, DbType); param.Direction = Direction; if (!(Direction == ParameterDirection.Output && Value == null)) param.Value = Value; return param; } #endregion #region 将命令文本添加到SqlCommand /// <summary> /// 创建一个SqlCommand对象以此来执行命令文本 /// </summary> /// <param name="procName">命令文本</param> /// <param name="prams"命令文本所需参数</param> /// <returns>返回SqlCommand对象</returns> private SqlCommand CreateCommand(string procName, SqlParameter[] prams) { // 确认打开连接 this.Open(); SqlCommand cmd = new SqlCommand(procName, con); cmd.CommandType = CommandType.Text; //执行类型:命令文本 // 依次把参数传入命令文本 if (prams != null) { foreach (SqlParameter parameter in prams) cmd.Parameters.Add(parameter); } // 加入返回参数 cmd.Parameters.Add( new SqlParameter("ReturnValue", SqlDbType.Int, 4, ParameterDirection.ReturnValue, false, 0, 0, string.Empty, DataRowVersion.Default, null)); return cmd; } #endregion #region 执行参数命令文本(无数据库中数据返回) /// <summary> /// 执行命令 /// </summary> /// <param name="procName">命令文本</param> /// <param name="prams">参数对象</param> /// <returns></returns> public int RunProc(string procName, SqlParameter[] prams) { SqlCommand cmd = CreateCommand(procName, prams); cmd.ExecuteNonQuery(); this.Close(); //得到执行成功返回值 return (int)cmd.Parameters["ReturnValue"].Value; } /// <summary> /// 直接执行SQL语句 /// </summary> /// <param name="procName">命令文本</param> /// <returns></returns> public int RunProc(string procName) { this.Open(); SqlCommand cmd = new SqlCommand(procName, con); cmd.ExecuteNonQuery(); this.Close(); return 1; } #endregion public int InsertBaseZcmc(string zcmc) { SqlParameter[] prams = { data.MakeInParam("@zcmc", SqlDbType.VarChar, 50, zcmc), }; return (data.RunProc("INSERT INTO tb_BaseZcmc (zcmc) VALUES (@zcmc)", prams)); }