java、C#中Sql语句传参的写法及意义

最新推荐文章于 2025-06-10 16:04:02 发布
最新推荐文章于 2025-06-10 16:04:02 发布
阅读量3.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Java学习与应用 C# WinForm开发 文章标签: sql c# java sqlserver insert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/turejackon/article/details/5382288
本文探讨了C#与Java中SQL参数化查询的方法及其优势,包括提升SQL语句性能、防止SQL注入等问题,并提供了具体的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 Sqlserver这东西没少跟他打交道,刚学开发语言时就已经跟他接触了,不要说很精通,但就语法还算是熟悉,但现在开始写C#,发现很C#多了一种SqlServer的参数传入方式,以往我们常常对要传参的Sql语句都是直接通过拼凑Sql语句的方式来实现,但现在C#为什么要专门做一个Sql参数的类来实现呢,经过查找才知道,这样做是有道理的,一是可以优化SQL语句(在oracle的教程的类似的传参SQL语句是只会预编译一次,无论传入多少次参数,都只编译一次,这样是可以优化同一SQL语句频繁使用的情况,SQLSERVER中不知道有没这方面的优化,Sqlserver的存储过程只要有传入参,是不会一次编译的是多次编译......),二是可以检查传入参的数据类型,过滤非法字符...这样可以有效阻止SQL的注入式破解.具体写法如下.

 

C#:

java:

 

后补于2013/08/15:

最近由于服务器不支持SqlConnection,又没法打补丁,所以使用OdbcConnection来进行连接数据库的操作,但在应用传参语句时出现如下问题:

语句:

string jsry = dr1["Ryzd_Ry_F"].ToString().Trim();       //接收人员
sqlse1 = "Insert Into Alarm_Bjxxb(Type_F,Ryzd_Js_F,SendTime_F,Content_F,DisPlay_F,Bz_F,LinkKey_F)"
       +" values('客户证照近效期',@p1,getDate(),@p2,'1','','"+serName+"')";
sqlCmd = new OdbcCommand(sqlse1, conn);
OdbcParameter par1 = new OdbcParameter("@p1", jsry);
sqlCmd.Parameters.Add(par1);
OdbcParameter par2 = new OdbcParameter("@p2", xmlString);
sqlCmd.Parameters.Add(par2);
sqlCmd.ExecuteNonQuery();

执行时错误提示如下:

[SQL Server] 必须声名变量 @p1
苦找了N久最后在网上发现,要把@p1,@p2改为?后才可正常执行,晕啊!

修改后Sqlse1如下:

sqlse1 = "Insert Into Alarm_Bjxxb(Type_F,Ryzd_Js_F,SendTime_F,Content_F,DisPlay_F,Bz_F,LinkKey_F)" +" values('客户证照近效期',?,getDate(),?,'1','','"+serName+"')";

c#sql语句传参写法
weixin_41320904的博客
07-20 1008
第一种比较简单,就是拼接成sql,然后调用方法执行。第二种相对麻烦一些,但是安全性更高,因此比较推荐第二种写法。目前博主用到的比较多的主要是两种方法。
C#中的Winform应用程序连接远程Oracle数据库的配置文件及SQL语句写法
ITclody的专栏
06-23 1171
远程连接Oracle数据库的配置文件及sql语句 近期,应朋友的要求,用C#语言开发了一个winform应用程序,要求的是连接到远程的Oracle数据库,用惯了SQL Server的我突然有点懵,然后通过一个简单的笔记来记录下对应的坑。 连接本地数据库和远程数据库的配置文件区别 连接本地数据库时配置文件如下: <?xml version="1.0" encoding="utf-8"?> 读取配置文件的中连接字符串和SQL Server没有任何区
C#调用SQL Server参数过程传参
weixin_33933118的博客
11-08 472
-SQL SERVER生成测试环境:Create database Test; go USE [Test] GO if OBJECT_ID('Tab2','U') is not null drop table Tab2 go CREATE TABLE [dbo].[Tab2]( [ID] [int] IDENTITY(1,1) NOT NULL, [TabID] [int] NOT N...
sql server sp_executesql 传参的思路
最新发布
情随事迁个人博客
06-10 109
【代码】sql server sp_executesql 传参的思路。
理解Java传参
chenjieying12321的博客
10-27 542
链接:http://www.cnblogs.com/perfy/archive/2012/10/16/2726039.html   参数是按值而不是按引用递的说明 Java 应用程序有且仅有的一种参数递机制,即按值递。 在 Java 应用程序中永远不会递对象,而只递对象引用。因此是按引用递对象。Java 应用程序按引用递对象这一事实并不意味着 Java 应用程序按引用
javasql语句的冒号 :
热门推荐
u012572815的博客
08-29 1万+
在写sql语句的时候,遇到了=后面跟着:的问题,想不通为什么要加: 问了一下,才知道,:是一个占位符,后面的字段是传参进来的,
c#中执行sql语句参数
weixin_30547797的博客
12-12 627
采用SqlClient方式连接数据库: intId=1;stringName="lui";//语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.SqlCommand cmd = new SqlCommand("",connection1);cmd.CommandText="insertintoTUserLoginvalues(@Id,@Na...
C#将Lambda表达式转成Sql语句
09-21
C#中,将Lambda表达式转换为SQL语句通常涉及以下步骤: 1. **创建表达式树**:通过调用`Expression.Lambda`方法,我们可以创建一个表示Lambda表达式的表达式树。 2. **解析表达式树**:通过递归遍历表达式树,...
C#SqlParameter参数写法
04-17
- **功能**:此方法接收SQL语句、命令类型、参数数组及超时时间,然后连接数据库并执行SQL命令。如果执行成功,则返回一个`DataTable`对象;如果失败,则抛出异常。 ### 小结 使用`SqlParameter`进行参数化查询是...
C# winform调用SQL存储过程-菜鸟入门 详细注释
08-05
内容概要:简单的C# winform调用存储过程实例,创建存储过程入参,通过SqlConnection对象和SqlCommand对象调用存储过程,获取存储过程的出参并显示出来,详细代码注释,希望对用到C#调用存储过程的小伙伴有帮助 ...
C# sql 查询条件 like 和 in 参数写法
博客
11-30 1195
C# sql 查询条件 like 和 in 参数写法
C# SQL变量参数递的两种方式
葫芦娃联盟
10-10 5936
1.直接将值SQL语句方式 string sql = insert into tbUser(userName) values("+txtUserName.Text+") //调用SQLHelper类 DbAccess.Instance.ExecuteNonQuery(sql, param); 2.通过带参数SQL语句方式 SqlParameter[] param = new
C# 参数名加冒号,可以打乱参数顺序
qq_34677276的博客
09-09 999
C# 参数名加冒号,可以打乱参数顺序
java sql传参_将参数Java递给Sql(Passing Argument from Java to Sql)
weixin_36108931的博客
02-24 981
参数Java递给Sql(Passing Argument from Java to Sql)我使用过sqlplus和Java,但直到现在才开始使用。 我很难在sql中获取命令行参数以返回特定于正则表达式的用户列表。 我的if语句和错误如下。 我相信该程序实际上是在搜索“^ A”的用户列表。 任何有关解决此问题的提示都将非常感激。else if (num == 1 && !ar...
MyBatis入门六:SQL传参一:SQL传参;(单参数递【基本包装类型】和多参数递【Map接口】)
小枯林的博客
05-06 3421
本篇博客主要内容是:(1)SQL语句需要传参的解决办法;(2)只一个参数时候parameterType设置成对应的包装类型;(3)多个参数时候parameterType设置Map接口类型; 目录 1.只一个参数:以根据id查商品信息为例; (1)在goods.xml中新增一个select标签: (2)外侧实际调用,演示: 2.递多个参数:以查询某个价格范围内的商品信息为例 (1)在goods.xml中新增一个select标签: (2)外侧实际调用,演示: SQL查询有时是需要外部.
java jdbc mysql 传参_java如何执行sql脚本并传参
weixin_39737240的博客
01-21 834
如下所示,利用ant.jar实现连接oracle数据库并执行sql脚本,但是如果我的sql脚本是带参数的(例如通过sqlplus是这样执行:sqlplus user/password@db @test.sqlA B C),貌似ant.jar中并不支持脚本传参,不知道有什么好的方法?public static void main(String[] args) {SQLExec sqlExec ...
sql用#{},和 ${}传参的区别
Jeremy的博客
07-19 3995
sql用#{},和 ${}传参的区别:1、使用#参数是,sql语句解析是会加上‘’,是单引号。 比如 select * from table where name = #{name} ,入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李’ 就是会当成字符串来解析,#{}传参能防止sql注入, 如果你入的参数为 单引号’
C# SqlParameter参数详细写法及其使用示例
参数写法通常涉及到创建`SqlParameter`对象并设置其属性,以便正确地将值绑定到SQL语句中。以下是对`SqlParameter`参数写法的详细介绍: 1. 创建SqlParameter数组:首先,创建一个`SqlParameter`类型的数组,用于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值