教您使用SQL参数变量来传递记录值

数据库 SQL Server
用SQL参数变量来传递记录值可以有效的防止SQL注入,下面就将为您详细介绍这种方法,如果您对此方面感兴趣的话,不妨一看,希望对您有所帮助。

如果需要防止SQL注入,可以用SQL参数变量来传递记录值,这可以有效的防止SQL注入,下面就将为您介绍此方法,供您参考,希望对您学习SQL变量的使用能够有所启迪。

public int ExecuteNonQuery(string sql,SqlParameter[]paras)
        {
            int res;
            using (cmd = new SqlCommand(sql, Getconn()))
            {
                //cmd.Parameters.Add(new SqlParameter("@textcaname","最真的梦"));
               // cmd.Parameters.AddRange(new SqlParameter[]{
               // new SqlParameter("@textcaname","南宁新闻")
               // });
                cmd.Parameters.AddRange(paras);
                res = cmd.ExecuteNonQuery();
            }

            return res;
        }

代码说明:此方法用来执行传入的带有SQL数组参数变量的SQL语句

public bool insert(string textcaname)
        {
            bool flag = false;
            string sql = "insert into category (caname) values(@textcaname)";
            SqlParameter[] paras = new SqlParameter[]
            {
            new SqlParameter("@textcaname",textcaname)
            };
            int res = sqlhelper.ExecuteNonQuery(sql, paras);

            if (res > 0)
            {
                flag = true;
            }
            return flag;
        }#p#

代码说明:

string sql = "insert into category (caname) values(@textcaname)";
此是带有SQL参数变量的SQL语句
SqlParameter[] paras = new SqlParameter[]
            {
            new SqlParameter("@textcaname",textcaname)
            };
把从文本框输入的记录值赋给数组参数中的SQL变量


运行效果:

 

 

【编辑推荐】

SQL中的指示变量及数组变量

SQL中系统变量的应用实例

详解SQL Server分布式查询

sql中while语句多层循环实例

SQL函数取得系统日期

 

责任编辑:段燃 来源: 互联网
相关推荐

2010-09-07 10:42:12

SQL语句

2010-09-24 15:58:24

SQL语句逐条更新

2010-09-24 16:52:18

sql DATENAM

2010-09-25 11:02:33

SQL主键

2010-09-28 10:35:58

SQL字段默认值

2010-09-17 15:08:13

SQL记录

2010-09-09 09:59:37

SQL函数TRUNC

2010-10-21 16:59:37

SQL Server创

2010-10-21 16:59:37

SQL Server创

2010-09-25 09:34:05

sql server主

2010-09-26 13:51:48

SQL游标

2010-09-10 16:24:06

SQL函数

2010-09-03 14:14:16

SQL删除

2010-10-27 16:56:05

Oracle重复记录

2010-09-26 13:56:43

SQL远程查询

2010-09-14 13:22:51

sql server备

2010-10-11 09:41:23

MySQL环境变量

2010-10-21 14:06:22

定义SQL Serve

2010-09-27 16:48:07

sql server时

2010-09-07 15:54:47

SQL语句LIKE
点赞
收藏

51CTO技术栈公众号