关于SqlParameter的问题.

于 2011-07-28 09:22:04 发布
阅读量473 收藏
点赞数
文章标签: sms sql table c
请先看下面代码:
===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

①            SqlParameter[] paras = {
                new SqlParameter("@SendTime", SqlDbType.DateTime, 8)
            };
②            SqlParameter[] parasName = {
                new SqlParameter("@ReceiverName", SqlDbType.NVarChar)
            };
            paras[0].Value = DateTime.Parse(SendTime);
            paras[1].Value = DateTime.Parse(ReceiverName);
            return base.SqlRuner.ExecuteDataTable(sql, paras);
        }
===========================================================================
我的疑问是,其中的"SendTime"和"ReceiverName"直接由参数获得不就可以了么?
为什么还要用①②的代码?为什么不可以直接写成:

===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

            return base.SqlRuner.ExecuteDataTable(sql);

【chanfengsr】:
这就是C#强类型的SQL命令吗!这样的命令参数定义好之后类型就是定了,如果给的参数类型不对,立马就会报错。
而直接用参数来拼串的话就不能保证参数和语句的正确性!而且容易被注入。
规范的带参数的SQL命令,应该用SqlCommand来执行!

mywebstudy
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值