C# sql语句传参数

最新推荐文章于 2020-11-06 15:43:32 发布
最新推荐文章于 2020-11-06 15:43:32 发布
阅读量244 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/sopper/archive/2007/05/10/741631.html
本文展示了一个使用C#进行SQL参数化插入操作的例子。通过SqlConnection、SqlCommand等对象,实现了向northwind数据库的Customers表中安全地插入数据,避免了SQL注入风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ContractedBlock.gifExpandedBlockStart.gif
None.gifstring id = "zawp";
None.gif            string name = "wwwwwww";
None.gif            string strCon = @"Data Source=(local);Integrated Security=SSPI;Initial Catalog =northwind";
None.gif
None.gif            // 直接在sql语句中写添加的参数名,这里没有做任何类型验证,在定义参数时需要准确的类型定义和长度设置
None.gif            string delegeSql = "insert into Customers(CompanyName,CustomerID) values(@Name,@id)";
None.gif
None.gif            SqlConnection strConn = new SqlConnection(strCon);
None.gif            strConn.Open();
None.gif
None.gif            SqlDataAdapter thisAdapter = new SqlDataAdapter(delegeSql, strCon);
None.gif            SqlCommandBuilder thisBuilder = new SqlCommandBuilder(thisAdapter);
None.gif            Console.WriteLine(thisAdapter.SelectCommand.CommandText);
None.gif
None.gif
None.gif            SqlCommand strComm = new SqlCommand(delegeSql, strConn);
None.gif
None.gif            //生成一个名字为@Id的参数,在这里必须要准确设定参数类型和类型长度,并且必须以@开头表示是添加的参数
None.gif            //注意可以用一个SqlParameter对像来添加多个参数,并且这里的参数定义、添加可以不安照sql语句里参数值的顺序(如果是存储过程的话,要注意顺序)
None.gif            SqlParameter para = new SqlParameter("@id", SqlDbType.NChar, 5);
None.gif            para.Value = id;
None.gif            strComm.Parameters.Add(para);
None.gif
None.gif            para = new SqlParameter("@name", SqlDbType.NVarChar, 40);
None.gif            para.Value = name;
None.gif            strComm.Parameters.Add(para);
None.gif
None.gif
None.gif
None.gif            strComm.ExecuteNonQuery();
None.gif
None.gif            strConn.Close();
None.gif
None.gif

转载于:https://www.cnblogs.com/sopper/archive/2007/05/10/741631.html

c#sql语句参写法
weixin_41320904的博客
07-20 1008
第一种比较简单,就是拼接成sql,然后调用方法执行。第二种相对麻烦一些,但是安全性更高,因此比较推荐第二种写法。目前博主用到的比较多的主要是两种方法。
C# 使用参数SQL语句
热门推荐
我的编程世界
02-13 2万+
之前实现的用户登录窗体,我们在用户名和密码框中都输入1‘ or ‘1’=1’,如下图所示。单击“登录“按钮后,你会发现竟然也能进入主窗体!我们输入的名户名和密码并不正确,为何也能进入系统呢? 登录成功后,显示的主窗体,如下图: 这就涉及到了“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。就这个窗体例
C#调用SQL Server参数过程
weixin_33933118的博客
11-08 473
-SQL SERVER生成测试环境:Create database Test; go USE [Test] GO if OBJECT_ID('Tab2','U') is not null drop table Tab2 go CREATE TABLE [dbo].[Tab2]( [ID] [int] IDENTITY(1,1) NOT NULL, [TabID] [int] NOT N...
c#中执行sql语句参数的小经验
weixin_30292843的博客
04-25 362
c#中与数据库打交道,免不了要用到各种sql语句,而给sql语句参数也是不可避免的。以下是我在此方面上的一点总结(高手勿见笑):1> 直接写入法: 例如: intId =1; string Name="lui"; cmd.CommandText="insert into TUserLogin values...
C# SQL变量参数递的两种方式
葫芦娃联盟
10-10 5938
1.直接将值SQL语句方式 string sql = insert into tbUser(userName) values("+txtUserName.Text+") //调用SQLHelper类 DbAccess.Instance.ExecuteNonQuery(sql, param); 2.通过带参数SQL语句方式 SqlParameter[] param = new
非常实用:C#SQL参的自动设置和赋值
weixin_30466421的博客
06-27 240
  引子:某年某日,公司Web程序被注入,导致数据库一塌糊涂。CIO大怒,要求以后所有数据库的交互行为都只能用SP,于是乎,即使是没有任何参数的一条查询语句也必须去到DB中加一条SP...   项目实例:新入手一个项目,业务流程比较复杂,数据库交互很多,一条条的SP写的煞是烦人,尤其是在DAL中设置Command的Parameters,繁琐而又费眼睛,写多了很容易出错,因为不仅仅要考虑参数的个数...
C#SQL参数入空值报错解决方案
12-31
注意:SQL参数是不能接受C#的null值的,入null就会报错。 下面我们看个例子: SqlCommand cmd=new SqlCommand(Insert into Student values(@StuName,@StuAge) ,conn); cmd.parameters.add(@StuName ,stuName); ...
C#实现String字符串转化为SQL语句中的In后接的参数详解
08-25
C#中,我们通常会遇到这样的场景:用户可能输入一串由逗号、换行符或其他分隔符分隔的字符串,需要将其转化为SQL语句中`IN`后面的参数列表。 以下是一个简单的C#函数`StringToList`,用于将输入的字符串`aa`转化...
C# 启用事务提交多条带参数SQL语句实例代码
08-27
C# 启用事务提交多条带参数SQL语句实例代码 本文主要介绍了C# 启用事务提交多条带参数SQL语句实例代码。这种方法可以确保多条SQL语句的执行结果为原子操作,即所有语句都执行成功或都不执行成功,以维护数据的...
SQL注入攻击
人生何适不艰难 赖是胸中万斛宽
06-03 1277
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入
C#sql参数
xiehaiyang1234的博客
05-04 927
         假设不需要动态参数的时候,语句为:select * from stuDB where SID ='1409044101';    进行如下步骤:      1. select * from stuDB where SID = ' ';                   然后在' ' 中添加 " "      2. select * from stuDb where SID =...
C#参数Sql,如果给IN参数
kim的专栏
10-09 9760
in不能用参数赋值 可以用charindex函数代替 SQL code ? 1 SELECT * FROM sys_User WHERE charindex(','+rtrim(RoleID) + ',' ,@RoleID)>0 @Role赋值 ',1,2,3,4,' 也可以这样写
C#SQL语句参数写法
shenhaha001的专栏
04-02 3856
C#SQL语句参数写法leConnection oc=new OracleConnection("data source=osserver;User Id=****;password=**"); OracleCommand cmd=new OracleCommand("insert into cym1.uploadfile (filename,filecontent) values (:
c#中执行sql语句参数
weixin_30547797的博客
12-12 627
采用SqlClient方式连接数据库: intId=1;stringName="lui";//语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.SqlCommand cmd = new SqlCommand("",connection1);cmd.CommandText="insertintoTUserLoginvalues(@Id,@Na...
c# sql where in 参数
橙-极纪元-JJYCheng
11-06 4770
第一种:Sql的Where IN()值拼接 不推荐,有sql注入风险 //Sql的Where IN()值拼装 string str = "1,2,3"; StringBuilder sql = new StringBuilder(); sql.Append("select * from user where in("); sql.Append(str); sql.Append(")"); string sqlStr = sql.ToString(); Console.Wr
C# SQL入、输出参数及返回值的存储过程
o527883184的博客
04-17 5467
/// <summary> /// 带参数的存储过程 /// </summary> /// <param name="sender"></param> /// <param name="e"></param> protected void Button3_Click(object sender, EventArgs
C#实现SQL语句解析方法详解
资源摘要信息:"这份资源包含了使用C#来解析SQL语句的详细教程。标题明确指出了内容的核心是关于SQL语句的解析,且特别强调了使用C#作为编程语言的应用场景。描述部分简洁地重申了这一主题,即专注于解析SQL语句,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值