本文介绍了如何使用参数化查询来安全地过滤数据,包括构建SqlCommand命令字符串、声明SqlParameter对象及将其赋值给SqlCommand对象的Parameters属性。此外还提供了Oracle数据库参数使用的注意事项。
1、数据库查询等使用参数
使用参数化查询三步骤:
1.使用parameters构建SqlCommand命令字符串
2.声明SqlParameter对象,将适当的值赋给它
3.将SqlParameter对象赋值给SqlCommand对象的Parameters属性
详见:第六课 向命令中添加参数(翻译).NET技术 http://www.dotnet-space.com/8202/
还有其它相差课程,有空继续入门学习:
第一课 ADO.NET简介(翻译).NET技术 http://www.dotnet-space.com/view.asp?id=8207
第二课 SqlConnection对象(翻译).NET技术 http://www.dotnet-space.com/view.asp?id=8206
第三课 SqlCommand对象(翻译).NET技术 http://www.dotnet-space.com/view.asp?id=8205
第四课 使用SqlDataReader读取数据(翻译).NET技术
第五课 使用断开数据--DataSet和SqlDataAdapter(翻译).NET技术
DataSet存有多张表,能够保存在内存中并能够重用。SqlDataAdapter使你能够填充DataSet并将更新返回给数据库。你不需要担心打开和关闭数据库的连接,因为SqlDataAdapter自动完成了。一个SqlComandBuilder基于SqlDataAdapter的select语句产生insert,update和delete命令。使用SqlDataAdapter的Fill方法对DataSet填充数据集。调用SqlDataAdapter的Update方法将改变返回给数据库。
第六课 向命令中添加参数(翻译).NET技术
你应该使用parameters以一种安全的方式过滤查询。使用parameter的过程包含下面三个步骤:在SqlCommand命令字符串中定义parameter,使用适当的属性声明SqlParameter对象,并将SqlParameter对象赋值给SqlCommand对象。当SqlCommand执行的时候,parameters将被SqlParameter对象中的值替换
第七课 使用存储过程(翻译).NET技术
《C#调用ORACLE存储过程返回结果集及函数》http://www.qqread.com/csharp/p223554.html
2、以上学习过程中发现一个不错的英文C#站点:
http://www.csharp-station.com/
3、 提示信息:ORA-00936: 缺失表达式
Oracle查询中带的参数不使用"@"而是用":",用@号就报如上信息。
OracleCommand com = new OracleCommand("Select * from T_BOOK where id=:id", con);
OracleParameter param = new OracleParameter();
param.ParameterName = "id";
param.Value = 10;
com.Parameters.Add(param);
object obstr = com.ExecuteScalar();
Console.WriteLine(obstr.ToString());
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
