SqlParameter的参数应用

最新推荐文章于 2019-07-09 20:10:35 发布
最新推荐文章于 2019-07-09 20:10:35 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: 一脚揣进→【WinFrom程序开发】 一头扎进→【ASP.NET之WEB开发】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paullink520/article/details/12834629
版权

【方法一】

SqlParameter[] prams =//创建参数数组
                              {
                                new SqlParameter("@id", SqlDbType.VarChar, 8),
                                new SqlParameter("@name", SqlDbType.VarChar, 50),
                                new SqlParameter("@money", SqlDbType.Float),
                                new SqlParameter("@talk", SqlDbType.VarChar, 50),
                                new SqlParameter("@department", SqlDbType.VarChar, 50),
                              };
                    prams[0].Value = this.textBox1.Text;//设置参数值
                    prams[1].Value = this.textBox2.Text;//设置参数值
                    prams[2].Value = this.textBox3.Text;//设置参数值
                    prams[3].Value = this.textBox4.Text;//设置参数值
                    prams[4].Value = this.textBox5.Text;//设置参数值
                    foreach (SqlParameter parameter in prams)
                        cmd.Parameters.Add(parameter);//添加参数

【方法2】

 con.sqlConnection.Open();//打开数据库连接
           
            using (SqlCommand command = new SqlCommand("INSERT INTO 员工表 " +//创建数据库命令对象
               "VALUES (@员工编号, @员工姓名,@基本工资,@工作评价,@所属部门)", con.sqlConnection))
            {
                command.Parameters.Add("@员工编号",                                                   //添加参数并赋值
                    SqlDbType.VarChar, 50, "员工编号").Value = this.textBox1.Text;
               
                command.Parameters.Add("@员工姓名",//添加参数并赋值
                    SqlDbType.VarChar, 50, "员工姓名").Value = this.textBox2.Text;
               
                command.Parameters.Add("@基本工资",//添加参数并赋值
                    SqlDbType.Float, 8, "基本工资").Value = Convert.ToString(this.textBox3.Text);
              
                command.Parameters.Add("@工作评价",//添加参数并赋值
                    SqlDbType.VarChar, 50, "工作评价").Value = this.textBox4.Text;
             
                command.Parameters.Add("@所属部门",//添加参数并赋值
                      SqlDbType.VarChar, 50, "所属部门").Value = this.textBox5.Text;
                //command.Parameters.Add("@所属部门",//添加参数并赋值
                    //SqlDbType.VarChar, 50, "所属部门").Value = "";
                command.ExecuteNonQuery();//执行SQL语句

                MessageBox.Show("添加数据成功");//弹出消息对话框
            }
            con.sqlConnection.Close();//关闭数据库连接

**************************************************************************************变形金刚*

         SqlCommand myCommand;       

        myCommand = Conn.CreateCommand();
        myCommand.CommandText = insertSql;
        myCommand.Parameters.Add("@CategoryName", SqlDbType.NVarChar, 15);
        myCommand.Parameters.Add("@Description", SqlDbType.NText);
        myCommand.Parameters["@CategoryName"].Value = txtCategoryName.Text;
        myCommand.Parameters["@Description"].Value = txtDescription.Text;

*******************************************************************************************************************

 【方法3】WinForm下的:

string sqlReset = @“update UserInfo set userName='{0}',password='{1}',QQ='{2}',Phone='{3}',Email='{4}',Address='{5}' where ID='{6}'";
sqlReset = string.Format(sqlReset, txtUser.Text.Trim(), txtPassword.Text.Trim(), txtQQ.Text.Trim(), txtPhone.Text.Trim(), txtEmail.Text.Trim(), txtAddress.Text.Trim(),Convert.ToInt32(this.dgvUser.CurrentRow.Cells[0].Value.ToString()));

这种方式的使用,字段值必须一一对应。

 

也可以修改为如下方式:

        private void btnReset_Click(object sender, EventArgs e)
        {
            if(MessageBox.Show("您确定要修改用户信息吗?", "信息提示", MessageBoxButtons.YesNo, MessageBoxIcon.Warning) == DialogResult.Yes)
            {
                //int selectID=this.dgvUser.CurrentRow.Index;
                //string sqlReset="update UserInfo set userName='{0}',password='{1}',QQ='{2}',Phone='{3}',Email='{4}',Address='{5}' where ID='{6}'";
                //sqlReset = string.Format(sqlReset, txtUser.Text.Trim(), txtPassword.Text.Trim(), txtQQ.Text.Trim(), txtPhone.Text.Trim(), txtEmail.Text.Trim(), txtAddress.Text.Trim(),Convert.ToInt32(this.dgvUser.CurrentRow.Cells[0].Value.ToString()));

          

                using (SqlConnection sqlconn = new SqlConnection(DBConnect.ConnString))
                {
                    sqlconn.Open();
                    SqlCommand cmd = sqlconn.CreateCommand();

                    string sqlReset = "update UserInfo set userName=@userName,password=@password,QQ=@QQ,Phone=@Phone,Email=@Email,Address=@Address whereID=@ID";
                          SqlParameter sp = new SqlParameter("@userName", txtUser.Text.Trim());
                    cmd.Parameters.Add(sp);
                    sp = new SqlParameter("@password", txtPassword.Text.Trim());
                    cmd.Parameters.Add(sp);
                    sp = new SqlParameter("@QQ", txtQQ.Text.Trim());
                    cmd.Parameters.Add(sp);
                    sp = new SqlParameter("@Phone", txtPhone.Text.Trim());
                    cmd.Parameters.Add(sp);
                    sp = new SqlParameter("@Email", txtEmail.Text.Trim());
                    cmd.Parameters.Add(sp);
                    sp = new SqlParameter("@Address", txtAddress.Text.Trim());
                    cmd.Parameters.Add(sp);
                    sp = new SqlParameter("@ID", Convert.ToInt32(this.dgvUser.CurrentRow.Cells[0].Value.ToString()));
                    cmd.Parameters.Add(sp);

                    cmd.CommandText = sqlReset;
                    cmd.CommandType = CommandType.Text;

                    cmd.ExecuteNonQuery();
                    InitDataGridView();    //刷新列表
                }
            }
        }
        //刷新列表
        public void InitDataGridView()//重现
        {
            string sqlStr = @"select ID as 编号,userName as 用户名,password as 密码,QQ,Phone as 电话号码,Email as 电子邮件,Address as 住址,Score as 积分 from UserInfo";
            SqlDataAdapter adp = new SqlDataAdapter(sqlStr, DBConnect.ConnString);
            DataSet ds = new DataSet();
            adp.Fill(ds);
            dgvUser.DataSource = ds.Tables[0];
            //adp.Fill(ds, "UserInfo");
            //if (ds.Tables["UserInfo"].Rows.Count > 0)
            //{
            //    dgvUser.DataSource = ds.Tables["UserInfo"].DefaultView;
            //}
            //else
            //{
            //    dgvUser.DataSource = null;//数据源为空
            //}
        }

 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

 private void toolStripButton2_Click(object sender, EventArgs e)
        {
            con.sqlConnection.Open();//打开数据库连接
            
            using (SqlCommand command = new SqlCommand("INSERT INTO 员工表 " +//创建数据库命令对象
               "VALUES (@员工编号, @员工姓名,@基本工资,@工作评价,@所属部门)", con.sqlConnection))
            {
                command.Parameters.Add("@员工编号",//添加参数并赋值
                    SqlDbType.VarChar, 50, "员工编号").Value = this.textBox1.Text;
                
                command.Parameters.Add("@员工姓名",//添加参数并赋值
                    SqlDbType.VarChar, 50, "员工姓名").Value = this.textBox2.Text;
                
                command.Parameters.Add("@基本工资",//添加参数并赋值
                    SqlDbType.Float, 8, "基本工资").Value = Convert.ToString(this.textBox3.Text);
               
                command.Parameters.Add("@工作评价",//添加参数并赋值
                    SqlDbType.VarChar, 50, "工作评价").Value = this.textBox4.Text;
              
                command.Parameters.Add("@所属部门",//添加参数并赋值
                      SqlDbType.VarChar, 50, "所属部门").Value = this.textBox5.Text;
                //command.Parameters.Add("@所属部门",//添加参数并赋值
                    //SqlDbType.VarChar, 50, "所属部门").Value = "";
                command.ExecuteNonQuery();//执行SQL语句

                MessageBox.Show("添加数据成功");//弹出消息对话框
            }
            con.sqlConnection.Close();//关闭数据库连接
        }

 //**************************************************************************************************************

StringBuilder strSql=new StringBuilder();
   strSql.Append("insert into 外聘人员(");
   strSql.Append("身份证号码,员工姓名,员工性别,家庭住址,邮政编码,电话号码,出生日期,婚姻状况,雇用日期,起薪,目前薪资,加薪日期,工作代码,任职部门,直属主管,员工编号)");
   strSql.Append(" values (");
   strSql.Append("@身份证号码,@员工姓名,@员工性别,@家庭住址,@邮政编码,@电话号码,@出生日期,@婚姻状况,@雇用日期,@起薪,@目前薪资,@加薪日期,@工作代码,@任职部门,@直属主管,@员工编号)");
   SqlParameter[] parameters = {
     new SqlParameter("@身份证号码", SqlDbType.NVarChar,10),
     new SqlParameter("@员工姓名", SqlDbType.NVarChar,10),
     new SqlParameter("@员工性别", SqlDbType.Bit,1),
     new SqlParameter("@家庭住址", SqlDbType.NVarChar,41),
     new SqlParameter("@邮政编码", SqlDbType.NVarChar,5),
     new SqlParameter("@电话号码", SqlDbType.NVarChar,11),
     new SqlParameter("@出生日期", SqlDbType.SmallDateTime),
     new SqlParameter("@婚姻状况", SqlDbType.Bit,1),
     new SqlParameter("@雇用日期", SqlDbType.SmallDateTime),
     new SqlParameter("@起薪", SqlDbType.Money,8),
     new SqlParameter("@目前薪资", SqlDbType.Money,8),
     new SqlParameter("@加薪日期", SqlDbType.SmallDateTime),
     new SqlParameter("@工作代码", SqlDbType.NVarChar,3),
     new SqlParameter("@任职部门", SqlDbType.NVarChar,10),
     new SqlParameter("@直属主管", SqlDbType.NVarChar,10),
     new SqlParameter("@员工编号", SqlDbType.Int,4)};
   parameters[0].Value = model.身份证号码;
   parameters[1].Value = model.员工姓名;
   parameters[2].Value = model.员工性别;
   parameters[3].Value = model.家庭住址;
   parameters[4].Value = model.邮政编码;
   parameters[5].Value = model.电话号码;
   parameters[6].Value = model.出生日期;
   parameters[7].Value = model.婚姻状况;
   parameters[8].Value = model.雇用日期;
   parameters[9].Value = model.起薪;
   parameters[10].Value = model.目前薪资;
   parameters[11].Value = model.加薪日期;
   parameters[12].Value = model.工作代码;
   parameters[13].Value = model.任职部门;
   parameters[14].Value = model.直属主管;
   parameters[15].Value = model.员工编号;

****9999999999999999值得学习999999

        private void button2_Click(object sender, EventArgs e)
        {
             using (SqlCommand cmd = new SqlCommand())//创建SqlCommand对象
            {
                try
                {
                    cmd.Connection = con.sqlConnection;//设置连接属性
                    con.sqlConnection.Open();//打开数据库的连接
                    cmd.CommandType = CommandType.StoredProcedure;//设置命令类型
                    cmd.CommandText = "proc_insert";//存储过程
                    SqlParameter[] prams =//创建参数数组
                              {
                                new SqlParameter("@id", SqlDbType.VarChar, 8),
                                new SqlParameter("@name", SqlDbType.VarChar, 50),
                                new SqlParameter("@money", SqlDbType.Float),
                                new SqlParameter("@talk", SqlDbType.VarChar, 50),
                                new SqlParameter("@department", SqlDbType.VarChar, 50),
                              };
                    prams[0].Value = this.textBox1.Text;//设置参数值
                    prams[1].Value = this.textBox2.Text;//设置参数值
                    prams[2].Value = this.textBox3.Text;//设置参数值
                    prams[3].Value = this.textBox4.Text;//设置参数值
                    prams[4].Value = this.textBox5.Text;//设置参数值
                    foreach (SqlParameter parameter in prams)
                        cmd.Parameters.Add(parameter);//添加参数


                    SqlParameter sqlpar =//得到参数对象
                        cmd.Parameters.Add("@Return", SqlDbType.Int);


                    sqlpar.Direction =//设置参数类型
                        ParameterDirection.ReturnValue;//获取返回值


                    cmd.ExecuteNonQuery();//执行SQL语句
                    con.sqlConnection.Close();//关闭数据库的连接
                }
                catch (Exception eu)
                {
                    MessageBox.Show(eu.Message, "错误!");
                    con.sqlConnection.Close();//关数数据库连接
                    return;//退出事件
                }
                int i = Convert.ToInt16(cmd.Parameters["@Return"].Value.ToString());//返回影响的行数
                if (i == 1)
                {
                    MessageBox.Show("添加过程成功");//弹出消息对话框
                }
                else if (i == -1)
                {
                    MessageBox.Show("添加过程失败");//弹出消息对话框
                }
                showinfo();//显示添加后的结果
            }
        
        }

Paullink520
关注
专栏目录
SqlParameter的使用
华淑敏的博客
12-02 1220
前言 今天我在理三层逻辑的时候,看到了SqlParameter。因为头一次看到不太懂,所以上百度大致了解了一番。 SqlParameter是什么 表示SqlCommand的参数,以及可选的到DataSet列的映射。这个类不能被继承。(SqlCommand:表示要针对SQL Server数据库执行的Transact-SQL语句或存储过程。这个类不能被继承。DataS...
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
SqlParameterSQL传递参数
weixin_34112208的博客
05-11 351
1.数据访问层 using的用法: 01.可以using System;导命名控空间 02.using 的语法结构 using(变量类型 变量名 =new 变量类型()) { } 案例: 03.using的原理 为什么出了using所在的{},会自动回收对象。 原因是当我们将要出{},系统自动调用了Dispose()方法。 而...
SqlParameter
a32232730的博客
07-15 201
1 List<SqlParameter> parameters = new List<SqlParameter>(); 2 SqlParameter param; 3 foreach (...) 4 { 5 param = new SqlParameter(...); 6 parameters.Add(param); 7 } 8 SqlPara...
关于SqlParameter参数的问题
weixin_30800807的博客
11-25 251
使用SqlParameter时默认,参数是不能为空的 public static object SqlNull(object obj) { if (obj == null || obj.ToString() == "") { return DBNull.Value; } ...
SqlParameter的用法
qq_34573534的博客
07-09 7159
我有个数据访问层的类DBHelper,里面有个方法RunSQLReturnDT,用来执行sql语句,并返回DataTable。在业务逻辑层,我调用DBHelper.RunSQLReturnDT(sql).而我想在业务逻辑层的方法里,用SqlParameter的方法把sql语句处理一下,不用拼接的方法。该怎么做呢? 答: 例如添加: StringBuilder strSql = new St...
详解C#中SqlParameter的作用与用法
08-31
在C#编程中,SqlParameter是System.Data.SqlClient命名空间下的一个类,主要用于在执行SQL命令时安全地传递参数。...在编写任何涉及用户输入和数据库交互的C#应用时,都应优先考虑使用SqlParameter
C# 中用 Sqlparameter 的两种用法
08-27
C# 中用 Sqlparameter 的两种用法 C# 中用 Sqlparameter 的两种用法是指...使用 Sqlparameter 对象可以避免 SQL 注入攻击,并且可以提高应用程序的安全性。同时,使用 Sqlparameter 对象也可以简化代码的编写和维护。
asp.net SqlParameter如何根据条件有选择的添加参数
10-25
在***中,当我们需要构建带有参数SQL...通过以上内容,我们可以了解到在***应用中如何根据实际条件有选择地向SQL查询中添加SqlParameter参数,这样的做法既能保证查询的安全性,又能根据实际情况灵活地构造查询语句。
asp.net SqlParameter关于Like的传参数无效问题
10-29
然而,在实际应用中可能会遇到一个问题:当使用`SqlParameter`对象传递参数时,`LIKE`子句无法正常工作,导致查询结果为空。本文将详细介绍这一问题的原因,并给出解决方案。 #### 二、问题现象描述 根据题目中的...
SqlParameter的作用与用法
爱.NET
02-27 767
最近开始敲了两条线,发现以前对数据库的操作是不安全的,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个SqlParameter参数。它表示SqlCommand...
sqlparameter
liuzhe147的博客
05-18 334
sql参数in
weixin_30369041的博客
11-22 192
/// <summary> /// 批量删除时的辅助方法 /// </summary> /// <param name="sKeys">值列表</param> /// <param name="sbWhere">Sql in子句的参数</pa...
sql参数数组,及调用。SqlParameter[] Parameters
雨水霂
03-17 6930
1、参数数组: SqlParameter[] Parameters = new SqlParameter[] { new SqlParameter("@ID", ID), new SqlParameter("@Bh", Bh), new SqlParameter("@StuffName", StuffName), new SqlParameter("@Sex", Sex), new SqlP
C#中SqlParameter的作用与用法
热门推荐
且听风吟的专栏
10-20 8万+
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13
使用SqlParameter防止SQL注入
`SqlParameter`是.NET框架中的一个关键类,用于构建安全、高效的参数化查询,从而有效地防止SQL注入攻击。 `SqlParameter`是`System.Data.SqlClient`命名空间的一部分,它允许我们在执行SQL命令时定义参数,而不是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值