asp.net C#命名参数SqlParameter详解

最新推荐文章于 2025-05-21 14:14:38 发布
最新推荐文章于 2025-05-21 14:14:38 发布
阅读量5.5k 收藏 2
点赞数
分类专栏: asp.net 文章标签: asp.net c# parameters sql string cmd
本文介绍了一种使用参数化查询的方法来增强SQL操作的安全性和灵活性。包括如何执行查询、增删改操作,并展示了具体的代码实现,如插入、更新及选择特定记录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

DBHelper:
         /// <summary>
        /// 执行查询
        /// </summary>
        /// <param name="sql">有效的select语句</param>
        /// <returns>返回SqlDataReader</returns>
        public static SqlDataReader ExecuteReader(string sql)
        {
            SqlConnection con = new SqlConnection(constring);
            con.Open();
            SqlCommand cmd = new SqlCommand(sql, con);
            return cmd.ExecuteReader(CommandBehavior.CloseConnection);
        }
        /// <summary>
        /// 执行查询带参数
        /// </summary>
        /// <param name="sql">有效的select语句</param>
        /// <returns>返回SqlDataReader</returns>
        public static SqlDataReader ExecuteReader(string sql,SqlParameter parameter)
        {
            SqlConnection con = new SqlConnection(constring);
            con.Open();
            SqlCommand cmd = new SqlCommand(sql, con);
            cmd.Parameters.Add(parameter);
            return cmd.ExecuteReader(CommandBehavior.CloseConnection);
        }
        /// <summary>
        /// 执行查询带参数数组
        /// </summary>
        /// <param name="sql">有效的select语句</param>
        /// <returns>返回SqlDataReader</returns>
        public static SqlDataReader ExecuteReader(string sql, SqlParameter[] parameters)
        {
            SqlConnection con = new SqlConnection(constring);
            con.Open();
            SqlCommand cmd = new SqlCommand(sql, con);
            //AddRange添加数组
            cmd.Parameters.AddRange(parameters);
            return cmd.ExecuteReader(CommandBehavior.CloseConnection);
        }

        /// <summary>
        /// 执行增删改
        /// </summary>
        /// <param name="sql"></param>
        /// <returns>影响的行数</returns>
        public static int ExecuteNonQuery(string sql)
        {
            using (SqlConnection con = new SqlConnection(constring))
            {
                con.Open();
                SqlCommand cmd = new SqlCommand(sql, con);
                return cmd.ExecuteNonQuery();
            }
        }


        public static int ExecuteNonQuery(string sql,SqlParameter[] parameters)
        {
            using (SqlConnection con = new SqlConnection(constring))
            {
                con.Open();
                SqlCommand cmd = new SqlCommand(sql, con);
                //foreach (SqlParameter item in parameters)
                //{
                //    cmd.Parameters.Add(item);
                //}
                cmd.Parameters.AddRange(parameters);
              
                return cmd.ExecuteNonQuery();
            }
        }
        public static int ExecuteNonQuery(string sql, SqlParameter parameter)
        {
            using (SqlConnection con = new SqlConnection(constring))
            {
                con.Open();
                SqlCommand cmd = new SqlCommand(sql, con);
                cmd.Parameters.Add(parameter);
                return cmd.ExecuteNonQuery();
            }
        }
DAL:
public static int Insert(company model)
        {

            StringBuilder strSql = new StringBuilder();
            strSql.Append("insert into company");
            strSql.Append("(FullName,ShortName,Keywords,Description,Type,Property,Style,Capital,Size,Details,Province,City,Address,Postalcode,Tel,Fax,Mailbox,Url,Link,createtime,Poss,Linkman,Product,Userid)");
            strSql.Append(" values (");
            strSql.Append("@FullName,@ShortName,@Keywords,@Description,@Type,@Property,@Style,@Capital,@Size,@Details,@Province,@City,@Address,@Postalcode,@Tel,@Fax,@Mailbox,@Url,@Link,@Createtime,@Poss,@Linkman,@Product,@Userid)");

            SqlParameter[] parameters = {
             new SqlParameter("@FullName",SqlDbType.VarChar),
             new SqlParameter("@ShortName",SqlDbType.VarChar),
             new SqlParameter("@Keywords",SqlDbType.VarChar),
                                                   。。。。。。。。。。。。。。。。。。
                                                        };
            //new SqlParameter( PARAM_PASSWORD, password== null ? (object)DBNull.Value : (object)password ),

                                                parameters[0].Value = model.FullName;
                                                parameters[1].Value = ""; //model.ShortName;
                                                parameters[2].Value = "";// model.Keywords;
                                                parameters[3].Value = model.Description;
                                                parameters[4].Value = model.Type;
                                                parameters[5].Value = model.Property;
                                                parameters[6].Value = model.Style;
                                                parameters[7].Value = model.Capital;
                                                parameters[8].Value = model.Size;
                                                //如果model.Details为空的话在执行的时候就会报“需要@Details参数,但未提供该参数”所以不能parameters[9].Value = model.Details;这样写
                                                parameters[9].Value = model.Details == null ? (object)System.DBNull.Value : model.Details;
                                                //parameters[9].Value = model.Details;
                                                。。。。。。。。。。。。。。。。。。。
            return DBHelper.ExecuteNonQuery(strSql.ToString(), parameters);
        }

public static List<company> SelectTop5(string type)
        {

            //asp.net SqlParameter关于Like的传参数无效问题问题在于Sql给参数自动添加了单引号。实际上在Sql,将like的代码解析成为了like '%'type'%' ",所以要写成下面的形式
            string sql = "select top 5 * from company where poss='通过' and type like @type order by createtime desc";
            string seach = "%"+type+"%";
            SqlDataReader reader = DBHelper.ExecuteReader(sql, new SqlParameter("@type",ObjToStr(seach)));
    。。。。。。。。。。。。。。。。。。。
}

public static int UpdateComInfo(company model)
        {
          
            string sql11 = "update company set FullName=@FullName,ShortName=@ShortName,Keywords=@Keywords,Description=@Description,[Type]=@Type,[Property]=@Property,Style=@Style,Capital=@Capital,[Size]=@Size,Details=@Details,Province=@Province,City=@City,Address=@Address,Postalcode=@Postalcode,Tel=@Tel,Fax=@Fax,Mailbox=@Mailbox,Url=@Url,Link=@Link,createtime=@Createtime,Poss=@Poss,Linkman=@Linkman,Product=@Product,Userid=@Userid where Id=@Id";

            SqlParameter[] parameters = {
                                        new SqlParameter("@FullName",ObjToStr(model.FullName)),
                                        new SqlParameter("@ShortName",ObjToStr(model.ShortName)),
                                        new SqlParameter("@Keywords",ObjToStr(model.Keywords)),
                                        。。。。。。。。。。。。。。。。。。。

                                       
                                        };
            return DBHelper.ExecuteNonQuery(sql11,parameters);
        }

public static company SelectById(string id)
        {
            string sql = "select * from company where Id=@id";

            SqlDataReader reader = DBHelper.ExecuteReader(sql, new SqlParameter("@id", ObjToStr(id)));
    。。。。。。。。。。。。。。。。
}

ADO.NET中命令参数(SqlParameter)使用示例
05-25
ADO.NET中关于命令参数(SqlParameter)使用的一个完整示例,包中包括数据库,可直接运行使用。
SqlParameter的用法
weixin_34034670的博客
06-19 459
关于Sql注入的基本概念,相信不需多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的话,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用都使用drop命令,那么可能你的整个数据库得全线崩溃。 当然,现在重点不是讲sql注入的害处,而是说说如何最大限度的避免注入...
CSqlParameter参数写法详解:深入理解C中的SqlParameter使用
最新发布
gitblog_06774的博客
05-21 248
CSqlParameter参数写法详解:深入理解C#中的SqlParameter使用 【下载地址】CSqlParameter参数写法详解 C#SqlParameter参数写法详解是一个专注于C#编程中SqlParameter应用的资源文件。它详细介绍了SqlParameter的基础用法,帮助开发者掌握如何正确使用SqlP...
asp.netsqlparameter 的使用
学习也休闲
10-28 2140
sqlparameter   命名空间: System.Data.SqlClient 程序集: System.Data(在 system.data.dll 中)   构造函数   public SqlParameter ( string parameterName, SqlDbType dbType, int size, ParameterDirectio
C#SqlParameter的作用与用法
热门推荐
且听风吟的专栏
10-20 8万+
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13
mysql idataparameter_小白不坑爹的asp.net SqlParameter和带参数存储过程运用
weixin_39658900的博客
01-21 222
IDataParameter[]是SqlParameter[]的接口实例,2种方式的作用是一样的sqlParameter的构造函数SqlParameter ()初始化 SqlParameter 类的新实例。由 .NET Compact Framework 支持。SqlParameter (String, Object)用参数名称和新SqlParameter 的一个值初始化 SqlParamet...
C# ASP.NET Winform中微软SQLHelper类详解参数处理
Microsoft的SQLHelper类是一个在C# ASP.NET Winform环境中设计的数据访问辅助工具,它简化了与SQL Server的交互过程。这个类主要用于简化存储过程调用、参数绑定以及处理数据返回。以下是关于SqlHelper类的关键知识...
Asp.net中常用Sql操作详解:连接与数据获取
本篇文章主要介绍了如何使用C#进行Asp.net数据库中的常用SQL操作,特别是连接数据库和执行存储过程的方法。首先,我们来看一个名为`GetData`的示例方法,它涉及到以下几个关键步骤: 1. 创建SqlConnection对象:`...
ASP.NET中Oracle存储过程详解C#调用示例
本文将介绍如何在ASP.NET中使用C#调用Oracle存储过程,包括创建存储过程和处理多结果集。 首先,我们来看一个Oracle存储过程的示例。存储过程`gd_CURSOR`在Oracle数据库中定义,其主要功能是返回两个结果集(通过`...
ASP.NET数据库访问:SqlCommand对象详解
"SqlCommand对象——常见属性-采用C#语言的ASP.NET课件" 这篇资源主要讲解了在ASP.NET中使用SqlCommand对象来访问SQL Server数据库时的一些核心属性。SqlCommand对象是ADO.NET框架的一部分,用于执行SQL命令或者...
ASP.NET下向SQLServer2008导入文件实例操作方法
09-11
### ASP.NET 下向 SQL Server 2008 导入文件实例操作方法 #### 背景介绍 在Microsoft SQL Server 2008及之后的版本中,`image` 数据类型已被废弃,并将在未来的更新中被彻底移除。因此,在进行新项目的开发时不再...
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
C# 中用 Sqlparameter 的两种用法
01-01
新建一个表: create table abc ( id int IDENTITY(1,1) NOT NULL, name nvarchar(100) , sex nvarchar(10) ) insert into abc values(‘asf','男') insert into abc values(‘ai','女') 创建表格完成。 新建一个存储过程: create procedure selbyid ( @id int, @thename nvarchar(100) output ) as select @thename= name from abc where id=@id 在
ADO.NET(SqlParameter)
Mr_Zhangsl1的博客
11-21 261
用与sql语句传参数。 在SqlCommand对象有一个Parameters属性,该属性的类型是SqlParameterCollection,是一个SqlParameter对象的集合。
C#sqlparameter的用法
wonglou的专栏
04-06 1496
<br />在c#中执行sql语句时传递参数的小经验<br /> 1、直接写入法:<br />      例如:<br />             int Id =1;<br />             string Name="lui";<br />             cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')";<br />        因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"
ADO.NET知识总结4---SqlParameter参数
white_papers的博客
01-08 733
表示SqlCommand对象的参数,或与DataSet中列的映射。常用属性DbType参数SqlDbType(即数据库的类型而言)Direction输入\ 输出 \ 输入输出 \ 返回值参数参数的名称Size最大大小字节为单位Value参数的值SqlValue作为SQL类型的参数的值。
C#---mysql参数sql语句
weixin_47328424的博客
07-27 1612
1.当使用带参数sql语句的时候, 1>sql语句中会出现参数。 2>如果sql语句中有参数,那么必须在command对象中提供对应的参数和值。| #region 不带参数sql语句 ////1.采集数据 //string loginName = txtloginName.Text.Trim(); //string password = txtPassword.Text.Trim(); ...
.NET 执行 Parameter 形式sql语句时注意事项
不死小强的空间
05-18 722
add Parameter时的顺序要与 sql语句Parameter出现的顺序保持一致,否则会发生错误。特此记录一下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值