SqlParameter用法

最新推荐文章于 2020-10-13 18:40:37 发布
最新推荐文章于 2020-10-13 18:40:37 发布
阅读量954 收藏 1
点赞数
分类专栏: C#

在c#中执行sql语句时传递参数的小经验

 1、直接写入法:

     例如:

            int Id =1;

            string Name="lui";

            cmd.CommandText="insert into TUserLoginvalues("+Id+",'"+Name+"')";

       因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"即可实现,而  Name是字符串,所以在传递的时候还需要在"+Name+"两边各加一个单引号(')来 实现;

 

 

2、给命令对象添加参数法:

    例如:

           int Id =1;

           string Name="lui";

           cmd.CommandText="insert into TUserLogin values(@Id,@Name)";

         //上条语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.

          SqlParameter  para=newSqlParameter("@Id",SqlDbType.int,4);//生成一个名字为@Id的参数,必须以@开头表示是添加的参数,并设置其类型长度,类型长度与数据库中对应字段相同

          para.Value=Id;//给参数赋值

          cmd.Parameters.Add(para);//必须把参数变量添加到命令对象中去。

          //以下类似

          para=new SqlParameter("@Name",SqlDbType.VarChar,16);

          para.Value=Name;

          com.Parameters.Add(para);

       ...然后就可以执行数据库操作了。
-----------------------------------
3、

SqlParameter[] paraList = new SqlParameter[7];

paraList[0] = new SqlParameter( "@userName ", SqlDbType.VarChar,50);
paraList[0].Value = personModel.UserName;
paraList[1] = new SqlParameter( "@account ", SqlDbType.VarChar,100);
paraList[1].Value = personModel.Account;
paraList[2] = new SqlParameter( "@pwd ", SqlDbType.VarChar,100);
paraList[2].Value = personModel.Pwd;
paraList[3] = new SqlParameter( "@unitID ", SqlDbType.VarChar,20);
paraList[3].Value = personModel.UnitID;
paraList[4] = new SqlParameter( "@email ", SqlDbType.VarChar,100);
paraList[4].Value = personModel.Email;
paraList[5] = new SqlParameter( "@officeTel ", SqlDbType.VarChar,20);
paraList[5].Value = personModel.OfficeTel;
paraList[6] = new SqlParameter( "@mobile ", SqlDbType.VarChar,20);
paraList[6].Value = personModel.Mobile;

return sd.ExecuteNonQuery( "UP_Person_ADD ", paraList); ///        SqlParameter[] parms = new SqlParameter[] {
                   new SqlParameter(SQL_PARM_RECEIVE, SqlDbType.NVarChar,20),
                   new SqlParameter(SQL_PARM_SEND, SqlDbType.NVarChar,20),
                   new SqlParameter(SQL_PARM_TITLE, SqlDbType.NVarChar,20),
                   new SqlParameter(SQL_PARM_CONTENT, SqlDbType.NVarChar, 100)};
           SqlCommand cmd = new SqlCommand();           // 依次给参数赋值
           parms[0].Value = receive;
           parms[1].Value = send;
           parms[2].Value = title;
           parms[3].Value = content;           //将参数添加到SqlCommand命令中
           foreach (SqlParameter parm in parms)
               cmd.Parameters.Add(parm);           //获取数据库的连接字符串
     using (SqlConnection conn = newSqlConnection(SqlHelper.ConnectionStringLocalTransaction))
           {
               //打开数据库连接,执行命令
               conn.Open();
               //设置Sqlcommand命令的属性
               cmd.Connection = conn;
               cmd.CommandType = CommandType.Text;
               cmd.CommandText = SQL_INSERT_MESSAGE;
               //执行添加的SqlCommand命令
               int val = cmd.ExecuteNonQuery();
               //清空SqlCommand命令中的参数
               cmd.Parameters.Clear();
 

}

http://hi.baidu.com/aweibsb/item/e775342a64d231cddcf69ac7

Kou_Hi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于sqlserver中SqlParameter用法注意事项
人生在手
10-12 979
关于sqlserver中SqlParameter用法注意事项
SqlParameter的使用
华淑敏的博客
12-02 1173
前言 今天我在理三层逻辑的时候,看到了SqlParameter。因为头一次看到不太懂,所以上百度大致了解了一番。 SqlParameter是什么 表示SqlCommand的参数,以及可选的到DataSet列的映射。这个类不能被继承。(SqlCommand:表示要针对SQL Server数据库执行的Transact-SQL语句或存储过程。这个类不能被继承。DataS...
SqlParameter的参数应用
学过印刷包装工程研究过食品科学且会点计算机编程的多功能码农
10-17 2738
【方法一】 SqlParameter[] prams =//创建参数数组                               {                                 new SqlParameter("@id", SqlDbType.VarChar, 8),                                 new SqlParameter
SqlParameter 基本用法
kiven
03-05 5400
本文出处http://developer.51cto.com/art/201105/263535.htm ,少有部分改动 因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个
sqlParameter的两种写法 以及存储过程还有sql语句(防注入)
dazhi5407的博客
09-27 442
SqlParamerter sp=new SqlParamerter[]{ new SqlParamerter("@id",id)}    SqlParameter[] sp = new SqlParameter[1]; sp[0] = new SqlParameter("@name", name);   ----------------------------...
SqlParameter 使用
weixin_33682790的博客
09-03 284
SqlParameter[]param=newSqlParameter[] { newSqlParameter("@Page",SqlDbType.Int,4), newSqlParameter("@Size",SqlDbType.Int,4), ...
C# 中用 Sqlparameter 的两种用法
08-27
C# 中用 Sqlparameter 的两种用法是指在 C# 语言中使用 Sqlparameter 对象来执行 SQL 语句或存储过程的两种方法。 Sqlparameter 对象是 ADO.NET 中的一种参数对象,它可以用来将参数传递给 SQL 语句或存储过程,从而...
详解C#中SqlParameter的作用与用法
08-31
本文将详细解析SqlParameter的作用及其用法,特别是在防止SQL注入和处理复杂数据类型方面的重要性。 首先,我们要了解SQL注入的风险。在直接拼接SQL语句时,如果用户输入的数据未经验证,恶意用户可能会注入恶意SQL...
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
SqlParameter用法
04-13
SqlParameter用法 SqlParameter 是一种非常重要的类,它可以帮助我们避免 SQL 注入问题。SQL 注入是一种常见的攻击方式,它可以让攻击者访问数据库中的敏感信息,甚至控制整个数据库。 什么是 SQL 注入? SQL ...
SqlParameter 的使用
weixin_30929295的博客
10-13 293
调用方法一般有如下两种: 一、Add方法 SqlParameter sp = new SqlParameter("@name", "Pudding"); cmd.Parameters.Add(sp); sp = new SqlParameter("@ID", "1"); cmd.Parameters.Add(sp); 该方法每次只能添加一个SqlParameter。上述代码的功...
sql server 防 注入
小半的博客
12-28 556
sql server 防 注入 这里使用的是参数化 SqlParameter useremail = new SqlParameter("@useremail", user.user_Email); SqlParameter pwd = new SqlParameter("@pwd", user.user_pwd); SqlPara...
new SqlParameter("e",0)的陷阱
米刀文
07-22 2127
new SqlParameter("e",0)的陷阱 有两个重载函数 public SqlParameter(string parameterName, object value);   public SqlParameter(string parameterName, SqlDbType dbType);   SqlDbType中有一个常量BigInt = 0,当传入参数0时,它会把
sqlparameter用法及作用
Just ✿ 跬步
07-23 1039
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。string sql = "update Table1 set
SqlParameter[] paras ={ new SqlParameter("@Id", SqlDbType.Int, 4) } 代码解析
zscmj的专栏
07-20 6265
是一种简化的声明数组时初始化的方式。V1:这种是个人都见过int[] a = new int[2];a[0] = 123;a[1] = 456;V2:这种也很常见int[] a = new int[2]{ 123, 456 };V3: 跟V2差不多int[] a = new in
SqlParameter的两种用法【二】
dianzhongqu2330的博客
11-28 152
private void Loadprovince() { string sql = "select * from Tables where ArealdPid=@pid"; /第一种方式创建一个参数对象,因为是传递一个对象 SqlParameter pi = new SqlParameter("@pid"...
SqlParameter的作用与用法
ay991120的博客
10-13 834
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 sqlhelper里: AddRange方法 public static string connstr = ConfigurationManager.ConnectionStrings["sql"].ConnectionString; //查询语句
C#中SqlParameter的作用与用法
paul50060049的专栏
11-01 4580
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值