参数化操作数据库,不用拼接字符串
2015-12-12 15:36
246 查看
说明:之前操作数据库一直都是用拼接字符串,发现很多时候做了很多重复工作,并且还要在每个输入的地方放sql注入,实在是麻烦。
用参数传递,则不用担心sql注入的风险(具体为何,不清楚)。
用参数传递,则不用担心sql注入的风险(具体为何,不清楚)。
SqlParameter[] para = new SqlParameter[] { new SqlParameter("@user_name",SqlDbType.NVarChar,10), new SqlParameter("@user_sex",SqlDbType.NVarChar,10), new SqlParameter("@user_age",SqlDbType.NVarChar,10), new SqlParameter("@region",SqlDbType.NVarChar,10) }; para[0].Value = "李立"; para[1].Value = "男"; para[2].Value = "25"; para[3].Value = "常德"; mysql.exeprocedure("test_insert", para); public int exeprocedure(string procename,SqlParameter[] para) { int count; SqlConnection myconn = new SqlConnection(settings); myconn.Open(); SqlCommand mycmd = new SqlCommand(procename,myconn); mycmd.CommandType = CommandType.StoredProcedure; mycmd.CommandText = procename; if (para != null) { mycmd.Parameters.AddRange(para); } count = mycmd.ExecuteNonQuery(); myconn.Close(); return count; }
相关文章推荐
- 数据库的组成
- 系统数据库
- 删除数据库
- 创建数据库
- sqlcmd 工具简介
- sqlsms工具简介
- sql server 配置管理器简介
- mysql 更改密码
- Log4Net 调试时输出sql到 视图->输出的sql语句
- MySQL 下创建触发器
- php开启redis
- Oracle SQL 语句高版本分析
- PostgreSQL 压缩包 在win7上安装
- nagios插件之监控oracle日志
- 重新启动Linux 下oracle 数据
- Could not find gem 'sqlite3 (>= 0) x64-mingw32' in any of the gem sources listed in your Gemfile
- redis入门笔记(2)
- redis入门笔记(1)
- mysql一次安装问题
- redis-3.0.1 sentinel 主从高可用 详细配置