SqlParameter类——带参数的SQL语句

最新推荐文章于 2025-05-21 14:14:38 发布

最新推荐文章于 2025-05-21 14:14:38 发布 · 2.9k 阅读

本文介绍了如何使用SqlParameter类来安全地向SQL命令中添加参数，并提供了具体的实例代码，包括插入和更新操作。通过SqlParameter可以有效地避免SQL注入攻击。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

SqlParameter 类

表示 SqlCommand 的参数，也可以是它到 DataSet 列的映射。无法继承此类。 命名空间： System.Data.SqlClient 程序集： System.Data（在 System.Data.dll 中） 举例1 string strconn = "Data Source=xxx;user id=sa;pwd=;initial catalog=gltest"; SqlConnection Conn = new SqlConnection(strconn); Conn.Open(); // 声明参数 string sql = "insert into users(name,pwd) values (@name,@pwd)<a href="mailto:%22;%0b%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%20SqlCommand%20cmd%20=%20new%20SqlCommand(sql,%20Conn);%0d%C2%A0%0d%C2%A0%C2%A0%C2%A0%C2%A0//%20%E6%B7%BB%E5%8A%A0%E5%8F%82%E6%95%B0%0b%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%20cmd.Parameters.Add(new%20SqlParameter(%22@name">"; SqlCommand cmd = new SqlCommand(sql, Conn);</a> <a href="mailto:%22;%0b%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%20SqlCommand%20cmd%20=%20new%20SqlCommand(sql,%20Conn);%0d%C2%A0%0d%C2%A0%C2%A0%C2%A0%C2%A0//%20%E6%B7%BB%E5%8A%A0%E5%8F%82%E6%95%B0%0b%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%20cmd.Parameters.Add(new%20SqlParameter(%22@name"></a> <a href="mailto:%22;%0b%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%20SqlCommand%20cmd%20=%20new%20SqlCommand(sql,%20Conn);%0d%C2%A0%0d%C2%A0%C2%A0%C2%A0%C2%A0//%20%E6%B7%BB%E5%8A%A0%E5%8F%82%E6%95%B0%0b%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%C2%A0%20cmd.Parameters.Add(new%20SqlParameter(%22@name">// 添加参数 cmd.Parameters.Add(new SqlParameter("@name</a>", SqlDbType.NVarChar, 50)); cmd.Parameters.Add(new SqlParameter("@pwd", SqlDbType.NVarChar, 50)); //为参数赋值 cmd.Parameters["@name"].Value = this.TextBox1.Text; cmd.Parameters["@pwd"].Value = this.TextBox2.Text; cmd.ExecuteNonQuery(); Conn.Close(); comm.Parameters.Add()添加参数到参数集即（添加参数列表）,add里面的第一个参数是要添加的参数名,第二个参数是参数的数据类型Parameters的作用就是把存储过程执行结束后得到的参数传到程序里。 第一个是参数名,第二个是参数类型,第三个是长度 举例二： /// <summary> /// 更新一条数据 /// </summary> public bool Update(Model.MonitoringPointsStatusInfo model) { StringBuilder strSql = new StringBuilder(); strSql.Append("update TB_MonitoringPointsStatus set "); strSql.Append("<a href="mailto:PointID=@PointID">PointID=@PointID</a>,"); strSql.Append("<a href="mailto:PointName=@PointName">PointName=@PointName</a>,"); strSql.Append("<a href="mailto:Date=@Date">Date=@Date</a>,"); strSql.Append("<a href="mailto:DangerousLevel=@DangerousLevel">DangerousLevel=@DangerousLevel</a>,"); strSql.Append("<a href="mailto:IsUpload=@IsUpload">IsUpload=@IsUpload</a>,"); strSql.Append("<a href="mailto:IsCheck=@IsCheck">IsCheck=@IsCheck</a>,"); strSql.Append("<a href="mailto:IsSafe=@IsSafe">IsSafe=@IsSafe</a>,"); strSql.Append("<a href="mailto:CycleTime=@CycleTime">CycleTime=@CycleTime</a>,"); strSql.Append("<a href="mailto:ColumnValue=@ColumnValue">ColumnValue=@ColumnValue</a>,"); strSql.Append("<a href="mailto:IsApproval=@IsApproval">IsApproval=@IsApproval</a>,"); strSql.Append("<a href="mailto:CheckUser=@CheckUser">CheckUser=@CheckUser</a>,"); strSql.Append("<a href="mailto:CheckRealName=@CheckRealName">CheckRealName=@CheckRealName</a>,"); strSql.Append("<a href="mailto:Note=@Note">Note=@Note</a>"); strSql.Append(" where <a href="mailto:ID=@ID"> ID=@ID</a>"); SqlParameter[] parameters = { new SqlParameter("@ID", SqlDbType.Int,4), new SqlParameter("@PointID", SqlDbType.Int,4), new SqlParameter("@PointName", SqlDbType.NVarChar,50), new SqlParameter("@Date", SqlDbType.DateTime), new SqlParameter("@DangerousLevel", SqlDbType.Char,1), new SqlParameter("@IsUpload", SqlDbType.Bit,1), new SqlParameter("@IsCheck", SqlDbType.Bit,1), new SqlParameter("@CycleTime",SqlDbType.Char,12), new SqlParameter("@IsSafe", SqlDbType.Bit,1),