关于SqlParameter的问题.

最新推荐文章于 2022-10-12 13:38:26 发布
转载 最新推荐文章于 2022-10-12 13:38:26 发布 · 486 阅读 · 0
文章标签:

#sms #sql #table #c

本文深入探讨了SQL参数化查询在C#中的应用,特别强调了使用强类型化命令的重要性,避免参数错误和SQL注入风险。通过实例展示了如何正确配置参数类型以确保SQL查询的安全性和效率。
请先看下面代码:
===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

①            SqlParameter[] paras = {
                new SqlParameter("@SendTime", SqlDbType.DateTime, 8)
            };
②            SqlParameter[] parasName = {
                new SqlParameter("@ReceiverName", SqlDbType.NVarChar)
            };
            paras[0].Value = DateTime.Parse(SendTime);
            paras[1].Value = DateTime.Parse(ReceiverName);
            return base.SqlRuner.ExecuteDataTable(sql, paras);
        }
===========================================================================
我的疑问是,其中的"SendTime"和"ReceiverName"直接由参数获得不就可以了么?
为什么还要用①②的代码?为什么不可以直接写成:

===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

            return base.SqlRuner.ExecuteDataTable(sql);

【chanfengsr】:
这就是C#强类型的SQL命令吗!这样的命令参数定义好之后类型就是定了,如果给的参数类型不对,立马就会报错。
而直接用参数来拼串的话就不能保证参数和语句的正确性!而且容易被注入。
规范的带参数的SQL命令,应该用SqlCommand来执行!

mywebstudy
关注
详解C#中SqlParameter的作用与用法
08-31
在C#编程中,SqlParameter是System.Data.SqlClient命名空间下的一个类,主要用于在执行SQL命令时安全地传递参数。本文将详细解析SqlParameter的作用及其用法,特别是在防止SQL注入和处理复杂数据类型方面的重要性。 ...
C#SqlParameter参数写法
04-17
根据提供的信息,我们可以深入探讨C#中的`SqlParameter`参数及其在数据库操作中的应用。下面将详细介绍如何使用`SqlParameter`以及其在SQL查询执行中的具体作用。 ### C# SqlParameter 参数详解 `SqlParameter`类...
SqlParameter一个容易出错的问题(@2.0)
killkill
02-09 3279
近日在做培训系统的时候遇到了一个一下的问题,主要涉及的问题如下:         public Models.Timu ListTimu(IListModels.TimuDesc> TimuDescs, bool IsKaoshi)        ...{            Models.Timu rtnValue = new Models.Timu();            Sql
Npgsql-The .net DataProvide for Postgresql DB.
yaoyouyou的专栏
09-18 5237
Npgsql: Users ManualCopyright © The Npgsql Development Team Last update: $Date: 2004/11/19 01:30:45 $ by $Author: fxjr $Category: External documentationIntended Audience: Npgsql Users1. What is Npgsq
sql不写parametertype_SqlParameter增添参数能否不指定parameterName,按顺序依次添加参数...
weixin_35462903的博客
01-12 382
SqlParameter添加参数能否不指定parameterName,按顺序依次添加参数正常添加参数是这样cmd.Parameters.AddWithValue("@user",parms[0]);cmd.Parameters.AddWithValue("@pwd",parms[1]);cmd.Parameters.AddWithValue("@flag",parms[2]);因为参数很多,...
关于sqlserver中SqlParameter的用法注意事项
人生在手
10-12 1289
关于sqlserver中SqlParameter的用法注意事项
C# 中用 Sqlparameter 的两种用法
08-27
C# 中用 Sqlparameter 的两种用法 C# 中用 Sqlparameter 的两种用法是指在 C# 语言中使用 Sqlparameter 对象来执行 SQL 语句或存储过程的两种方法。 Sqlparameter 对象是 ADO.NET 中的一种参数对象,它可以用来将...
asp.net SqlParameter关于Like的传参数无效问题
01-02
SqlParameter[] parameters = { new SqlParameter(“@Name”, searchName) }; 但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数...
关于SqlParameter参数的问题
weixin_30800807的博客
11-25 275
使用SqlParameter时默认,参数是不能为空的 public static object SqlNull(object obj) { if (obj == null || obj.ToString() == "") { return DBNull.Value; } ...
IDataParameter[]的用法
蓝昊天——.net之旅
10-23 2640
IDataParameter[]简单的说来,就是可以包含任何数据库参数的数组,这些参数可以是SqlParameter或者OleDbParameter,但是,IDataParameter[]不可以直接从SqlParameter[]转换过来。下面是三种创建IDataParameter[]的方法:一、直接构造:IDataParameter[] parameters = new IDataParamete
数据库批量操作中SqlParameter参数传递的问题
weixin_30515513的博客
10-31 279
数据库批量操作 比如会写:update T_AdminUsers set IsEnabled=@IsEnabled where Id in (@ids) 然后再SqlParameter("@isd","1,2,3"), 但这样是不行的,原因是什么呢,找啊找,找啊找,为什么每次都是费了老半天时间排除各种原因后才想起来最可能的原因。 最后想可能是SqlParameter的机制问题,于...
C#——SqlParameter的使用方法及注意事项
知北行的博客
02-19 8206
SqlParameter可以防止sql注入问题,这里记录下使用方法及代码。 1.封装的sqlHelper类中的数据库操作方法(部分代码,具体可参见.net 使用SQLconnection连接数据库及SQL帮助类) //这里要填入你的数据库连接字符串 private static string connectionString = "*************************"; ...
The SqlParameterCollection only accepts non-null SqlParameter type objects, not SqlParameter objects.
最新发布
06-07
使用AddWithValue方法时,注意它返回的是一个SqlParameter对象,但通常我们直接使用,不会返回null,所以问题较少。但是,如果试图添加null到集合本身,还是会出错。6.使用参数化查询时,确保参数名称前面的@符号...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值