在C#中,使用SqlCommand對(duì)象的SqlParameter對(duì)象可以方便地向SQL查詢傳遞參數(shù)。以下是使用SqlParameter傳遞參數(shù)的步驟:
using System.Data;
using System.Data.SqlClient;
string connectionString = "your_connection_string";
SqlConnection connection = new SqlConnection(connectionString);
connection.Open();
string sqlQuery = "SELECT * FROM your_table WHERE column1 = @parameter1 AND column2 = @parameter2";
SqlCommand command = new SqlCommand(sqlQuery, connection);
在這個(gè)例子中,@parameter1
和 @parameter2
是我們要傳遞的參數(shù)。
SqlParameter parameter1 = new SqlParameter("@parameter1", SqlDbType.VarChar) { Value = "value1" };
SqlParameter parameter2 = new SqlParameter("@parameter2", SqlDbType.Int) { Value = 123 };
command.Parameters.Add(parameter1);
command.Parameters.Add(parameter2);
注意,參數(shù)名稱前的符號(hào)(@)應(yīng)與SQL查詢中的參數(shù)名稱相匹配。
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
// Process the result set
}
}
connection.Close();
現(xiàn)在,你已經(jīng)學(xué)會(huì)了如何使用C#的SqlParameter對(duì)象向SQL查詢傳遞參數(shù)。這種方法可以有效地防止SQL注入攻擊,并提高代碼的可讀性和可維護(hù)性。