SqlParameter用法

更多时间：2015-1-9 类别：编程学习浏览量：1540

SqlParameter用法

SqlParameter用法

参数化查询（Parameterized Query ）是指在设计与数据库链接并访问数据时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值，这个方法目前已被视为有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。

SqlParameter使用方式一

C# 代码复制


SqlCommand command = new SqlCommand(sqlStr, DB.conn);
command.Parameters.Add("@Username", SqlDbType.VarChar);
command.Parameters.Add("@Pasword", SqlDbType.VarChar);
command.Parameters["@Username"].Value = loginId;
command.Parameters["@Pasword"].Value = loginPwd;

SqlParameter使用方式二

C# 代码复制


SqlCommand command = new SqlCommand();
command.Connection = DB.conn;
command.CommandText = sqlStr;
command.Parameters.Add(new SqlParameter("@Username", loginId));
command.Parameters.Add(new SqlParameter("@Pasword", loginPwd));

SqlParameter使用方式三

C# 代码复制


Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);
cmd.parameters.add("@Username",DbType.varchar).value=loginId;
cmd.parameters.add("@Pasword",DbType.varchar).value=loginPwd;

SqlParameter使用方式四

C# 代码复制


Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);
cmd.parameters.addwithvalue("@Username",loginId);
cmd.parameters.addwithvalue("@Pasword",loginPwd);

SqlParameter使用方式五

C# 代码复制


  Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);  
  SqlParameter para1=new SqlParameter("@Username",SqlDbType.VarChar,16);
  para1.Value=loginId;
  cmd.Parameters.Add(para1);
  SqlParameter para2=new SqlParameter("@Pasword",SqlDbType.VarChar,16);
  para2.Value=loginPwd;
  cmd.Parameters.Add(para2);

SqlParameter使用方式六

C# 代码复制


 SqlParameter[] parms = new SqlParameter[]
 ...{
     new SqlParameter("@Username", SqlDbType.NVarChar,20),
     new SqlParameter("@Pasword", SqlDbType.NVarChar,20),
 };
 SqlCommand cmd = new SqlCommand(sqlStr, DB.conn);
 // 依次给参数赋值
 parms[0].Value = loginId;
 parms[1].Value = loginPwd;
//将参数添加到SqlCommand命令中
foreach (SqlParameter parm in parms)
...{
    cmd.Parameters.Add(parm);
}

标签：SqlParameter 参数化查询

上一篇：MongoDB 日志文件太大

下一篇：使用RouteDebugger对MVC路由进行调试

您可能感兴趣

SqlParameter用法

SqlParameter用法

热门推荐

排行榜