参数化操作数据库,不用拼接字符串
2015-12-12 15:36
246 查看
说明:之前操作数据库一直都是用拼接字符串,发现很多时候做了很多重复工作,并且还要在每个输入的地方放sql注入,实在是麻烦。
用参数传递,则不用担心sql注入的风险(具体为何,不清楚)。
用参数传递,则不用担心sql注入的风险(具体为何,不清楚)。
SqlParameter[] para = new SqlParameter[]
{
new SqlParameter("@user_name",SqlDbType.NVarChar,10),
new SqlParameter("@user_sex",SqlDbType.NVarChar,10),
new SqlParameter("@user_age",SqlDbType.NVarChar,10),
new SqlParameter("@region",SqlDbType.NVarChar,10)
};
para[0].Value = "李立";
para[1].Value = "男";
para[2].Value = "25";
para[3].Value = "常德";
mysql.exeprocedure("test_insert", para);
public int exeprocedure(string procename,SqlParameter[] para)
{
int count;
SqlConnection myconn = new SqlConnection(settings);
myconn.Open();
SqlCommand mycmd = new SqlCommand(procename,myconn);
mycmd.CommandType = CommandType.StoredProcedure;
mycmd.CommandText = procename;
if (para != null)
{
mycmd.Parameters.AddRange(para);
}
count = mycmd.ExecuteNonQuery();
myconn.Close();
return count;
}
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 数据库的组成
- 系统数据库
- 删除数据库
- 创建数据库
- sqlcmd 工具简介
- sqlsms工具简介
- sql server 配置管理器简介
- mysql 更改密码
- Log4Net 调试时输出sql到 视图->输出的sql语句
- MySQL 下创建触发器
- php开启redis
- Oracle SQL 语句高版本分析
- PostgreSQL 压缩包 在win7上安装
- nagios插件之监控oracle日志
- 重新启动Linux 下oracle 数据
- Could not find gem 'sqlite3 (>= 0) x64-mingw32' in any of the gem sources listed in your Gemfile
- redis入门笔记(2)
- redis入门笔记(1)
- mysql一次安装问题
- redis-3.0.1 sentinel 主从高可用 详细配置