本文介绍了在C#中使用三种不同的方法向SQL语句传递参数,包括直接写入法、给命令对象添加参数法以及使用SqlParameter数组的方法。这些技巧有助于提高数据库操作的安全性和效率。
文章资料引用:http://www.knowsky.com/339188.html
c#中与数据库打交道,免不了要用到各种sql语句,而给sql语句传参数也是不可避免的。以下是我在此方面上的一点总结(高手勿见笑):
1> 直接写入法:
例如:
int Id =1;
string Name="lui";
cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')";
因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"即可实现,而 Name是字符串,所以在传递的时候还需要在"+Name+"两边各加一个单引号(')来 实现;
2>给命令对象添加参数法:
例如:
int Id =1;
string Name="lui";
cmd.CommandText="insert into TUserLogin values(@Id,@Name)";
//上条语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.
SqlParameter para=new SqlParameter("@Id",SqlDbType.int,4);
//生成一个名字为@Id的参数,必须以@开头表示是添加的参数,并设置其类型长度,类型长度与数据库中对应字段相同
para.Value=Id;//给参数赋值
cmd.Parameters.Add(para);//必须把参数变量添加到命令对象中去。
//以下类似
para=new SqlParameter("@Name",SqlDbType.VarChar,16);
para.Value=Name;
com.Parameters.Add(para);
...然后就可以执行数据库操作了。
3>当然以上生命的两个SqlParameter对象的实例,也可以用Sqlparameter[]数组来代替,语法如下:
例如:
int Id =1;
string Name="lui";
cmd.CommandText="insert into TUserLogin values(@Id,@Name)";
//上条语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.
SqlParameter[] param=new SqlParameter[2];
Param[0]=this.CreateParameter(“@Id”,SqlDbType.int,4);
Param[1]=this.CreateParameter(“@Name”,SqlDbType.VarChar,16);
com.Parameters.Add(para);
而this.CreateParameter(String field,DbType dbtype,ParameterDirection die)的定义如下:
public SqlParameter CreateParameter(string field, DbType dbtype, string value, ParameterDirection direction)
{
SqlParameter p = new SqlParameter();
p.ParameterName = field;
p.DbType = dbtype;
p.Value = value;
p.Direction = direction;
return p;
}
...然后就可以执行数据库操作了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
