SqlCommand.Parameters的使用

　  在c#中执行sql语句时，避免会遇到传参的问题。Parameters就是用来做参数化查询，不然很容易被黑客拿到数据。

　一、简介

　　引用自：https://msdn.microsoft.com/ZH-CN/library/system.data.sqlclient.sqlcommand.parameters(v=vs.110).aspx

　　命名空间:   System.Data.SqlClient
　　程序集:  System.Data（位于 System.Data.dll）

　　语法

　　public SqlParameterCollection Parameters { get; }

　　属性值

　　Type: System.Data.SqlClient.SqlParameterCollection

　　Transact-SQL 语句或存储过程的参数。 默认值为空集合。

　二、示例

private static void UpdateDemographics(Int32 customerID,
    string demoXml, string connectionString)
{
    // Update the demographics for a store, which is stored 
    // in an xml column. 
    string commandText = "UPDATE Sales.Store SET Demographics = @demographics "
        + "WHERE CustomerID = @ID;";

    using (SqlConnection connection = new SqlConnection(connectionString))
    {
        SqlCommand command = new SqlCommand(commandText, connection);
        command.Parameters.Add("@ID", SqlDbType.Int);
        command.Parameters["@ID"].Value = customerID;

        // Use AddWithValue to assign Demographics.
        // SQL Server will implicitly convert strings into XML.
        command.Parameters.AddWithValue("@demographics", demoXml);

        try
        {
            connection.Open();
            Int32 rowsAffected = command.ExecuteNonQuery();
            Console.WriteLine("RowsAffected: {0}", rowsAffected);
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
        }
    }
}

 

   三、常见用法

　　1. 分页查询

　　　如下定义, 如果在查询数据语句和查询总条数中使用，会在第二处提示被引用的异常

List<SqlParameter> parameters = new List<SqlParameter>()  ;

　　解决方法：

 parameters.Select(x => ((ICloneable)x).Clone()).ToArray<object>()

　　2. Like的用法

　　原因是传入的参数会被自动加上单引号，直接使用 Title like '%@Title%'会出错

if (!string.IsNullOrEmpty(Title))
{ 
    keyCondition += " and (Title like @Title ) ";
    parameters.Add(new SqlParameter() { ParameterName = "@Title", Value = "%" + Title + "%" });
}