在c#中执行sql语句时,避免会遇到传参的问题。Parameters就是用来做参数化查询,不然很容易被黑客拿到数据。
一、简介
引用自:https://msdn.microsoft.com/ZH-CN/library/system.data.sqlclient.sqlcommand.parameters(v=vs.110).aspx
命名空间: System.Data.SqlClient
程序集: System.Data(位于 System.Data.dll)
语法
public SqlParameterCollection Parameters { get; }
属性值
Type: System.Data.SqlClient.SqlParameterCollection
Transact-SQL 语句或存储过程的参数。 默认值为空集合。
二、示例
private static void UpdateDemographics(Int32 customerID,
string demoXml, string connectionString)
{
// Update the demographics for a store, which is stored
// in an xml column.
string commandText = "UPDATE Sales.Store SET Demographics = @demographics "
+ "WHERE CustomerID = @ID;"; using (SqlConnection connection = new SqlConnection(connectionString))
{
SqlCommand command = new SqlCommand(commandText, connection);
command.Parameters.Add("@ID", SqlDbType.Int);
command.Parameters["@ID"].Value = customerID; // Use AddWithValue to assign Demographics.
// SQL Server will implicitly convert strings into XML.
command.Parameters.AddWithValue("@demographics", demoXml); try
{
connection.Open();
Int32 rowsAffected = command.ExecuteNonQuery();
Console.WriteLine("RowsAffected: {0}", rowsAffected);
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
}
}
}
三、常见用法
1. 分页查询
如下定义, 如果在查询数据语句和查询总条数中使用,会在第二处提示被引用的异常
List<SqlParameter> parameters = new List<SqlParameter>() ;
解决方法:
parameters.Select(x => ((ICloneable)x).Clone()).ToArray<object>()
2. Like的用法
原因是传入的参数会被自动加上单引号,直接使用 Title like '%@Title%'会出错
if (!string.IsNullOrEmpty(Title))
{
keyCondition += " and (Title like @Title ) ";
parameters.Add(new SqlParameter() { ParameterName = "@Title", Value = "%" + Title + "%" });
}