不知道怎么用SqlParameter

NewRicky 2007-01-16 06:22:11

str="insert into Categorie(CategoryName,Description)values(@name,@desc)";
cmd=new SqlCommand(str,cn);
cmd.Parameters.Add("@name",this.TextBox1.Text);
cmd.Parameters.Add("@desc",this.TextBox3.Text);
cmd.ExecuteNonQuery();
我以前都是拼sql语句的,才知道这样不好,又学了个方法
我想把这部分做个方法因为我很多地方要用到现在就是参数的问题了
怎么来传参数咯?

...全文

2175 8 打赏收藏转发到动态举报

写回复

8 条回复

切换为时间正序

请发表友善的回复…

发表回复

facebookdotcom 2008-12-20

打赏
举报

回复

Click the link to solve your problem.Good luck!

ourplan9000 2008-05-23

打赏
举报

回复

cmd.Parameters.AddWithValue( "@name ",this.TextBox1.Text);
cmd.Parameters.AddWithValue( "@desc ",this.TextBox3.Text);

DinoSaur_1985 2007-01-16

打赏
举报

回复

使用方法

string sql = "select * from authors where au_id=@au_id";

//构造参数
SqlParameter[] param = {
new SqlParameter("@au_id",textBox1.text)
};

//执行方法
int Result = ExecuteSQL(sql,param);

DinoSaur_1985 2007-01-16

打赏
举报

回复

我哪个方法忘了写返回值了。。。

public int ExecuteSQL(string sql,SqlParameter[] Param)
{
cmd=new SqlCommand(sql,cn);
//添加参数
if(Param!=null)
{
foreach(SqlParameter Para in Param)
comm.Parameters.Add(Para);
}
//执行SQL
int Result = cmd.ExecuteNonQuery();
//返回结果
return Result;
}

wslinfeng 2007-01-16

打赏
举报

回复

cmd.ExecuteNonQuery();

前面加上
cmd.Parameters["@name"].value="你的值";
其余类似

DinoSaur_1985 2007-01-16

打赏
举报

回复

public int ExecuteSQL(string sql,SqlParameter[] Param)
{
cmd=new SqlCommand(sql,cn);
if(Param!=null)
{
foreach(SqlParameter Para in Param)
comm.Parameters.Add(Para);
}
cmd.ExecuteNonQuery();
}

xiaoliangwh 2007-01-16

打赏
举报

回复

up

SQLHelper代码详解SQLHelper代码详解SQLHelper代码详解SQLHelper代码详解SQLHelper代码详解SQLHelper代码详解SQLHelper代码详解

主要介绍了SQL Server Parameter Sniffing及其改进方法,需要的朋友可以参考下

using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data.SqlClient; using System.Data; namespace 网吧计费系统 { class SqlHelper { static string connStr = "server=.;database=netBarDb;uid=sa;pwd=123456"; //增删改 #region ///

/// 执行增删改语句 ///

/// insert/delelt/update语句 /// 参数的数组 /// public static int ExecuteNonQuery(string sql, params SqlParameter[] parameters) { //创建连接对象 SqlConnection conn = new SqlConnection(connStr); conn.Open(); //创建命令对象 SqlCommand cmd = new SqlCommand(sql, conn); cmd.Parameters.AddRange(parameters); //返还受影响的行数 int row = cmd.ExecuteNonQuery(); conn.Close(); return row; } #endregion //单行单列查询 #region ///

/// 单行单列查询 ///

/// select语句 /// 参数数组 /// 第一列第一行的内容 public static object ExecuteScalar(string sql, params SqlParameter[] parameters) { ////创建连接对象 //SqlConnection conn = new SqlConnection(connStr); //conn.Open(); ////创建命令对象 //SqlCommand cmd = new SqlCommand(sql, conn); //cmd.Parameters.AddRange(parameters); //object obj = cmd.ExecuteScalar(); //conn.Close(); //return obj; using (SqlConnection conn = new SqlConnection(connStr)) { conn.Open(); using (SqlCommand cmd = conn.CreateCommand()) { cmd.CommandText = sql; foreach (SqlParameter parameter in parameters) { cmd.Parameters.Add(parameter); } return cmd.ExecuteScalar(); } } } #endregion //多行多列查询 #region ///

/// 多行多列连接查询 ///

/// select语句 /// 参数数组 /// SqlDataReader读取器 public static SqlDataReader ExecuteReader(string sql, params SqlParameter[] parameters) { SqlConnection conn = new SqlConnection(connStr); conn.Open(); //创建连接对象 SqlCommand cmd = new SqlCommand(sql, conn); cmd.Parameters.AddRange(parameters); SqlDataReader reader = cmd.ExecuteReader(CommandBehavior.CloseConnection

在第一次做机房收费的时候就说到了SQL的注入问题，当时，只知道有这么一个问题，也简单地查了一下，但对于当时的我来说，简直是高大上呀！一查SQL注入，好多方法，好麻烦！果断地挂起来！！！其实，最开始学到SqlParameter的时候是在机房重构里面，只不过当时不知道这有什么用，只知道它是简单的传送一些参数罢了！在牛腩中，才开始真真正正地将Sqlparameter和SQL注入连在一起！

SqlParameter的用法关于Sql注入的基本概念，相信不需多说，大家都清楚，经典的注入语句是' or 1=1--单引号而截断字符串，“or 1=1”的永真式的出现使得表的一些信息被暴露出来，如果sql语句是select * from 的话，可能你整个表的信息都会被读取到，更严重的是，如果恶意使用都使用drop命令，那么可能你的整个数据库得全线崩溃。当然，现在重点不是讲sql注入的害...

62,269

社区成员

668,981

社区内容

发帖

与我相关

我的任务

javascript云原生企业社区

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见，支持健康理性的辩论和互动，反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章