目录
5.1 SqlParameter介绍
5.2 SqlParameter创建参数方式
5.3 添加命令参数
5.4 参数使用
5.1 SqlParameter介绍
SqlParameter: 表示SqlCommand对象的参数,或与DataSet中列的映射。
常用属性
DbType 参数的SqlDbType(即 数据库的类型而言)
Direction 参数的类型:输入\ 输出 \ 输入输出 \ 返回值参数
ParameterName 参数的名称
Size 最大大小 字节为单位
Value 参数的值
SqlValue 作为SQL类型的参数的值
5.2 SqlParameter创建参数方式
方式一:用无参构造函数创建参数
SqlParameter pra1 = new SqlParameter();
pra1.ParameterName = "@userName";//参数名
pra1.SqlDbType = SqlDbType.VarChar;//数据类型
pra1.Value = "admin";//参数值
pra1.Size = 20;//大小方式二:以参数名和参数值创建参数
SqlParameter para2 = new SqlParameter("@cardNo", "2022090800001");方式三:以参数名 和 SqlDbType 创建参数
SqlParameter para3 = new SqlParameter("@memberName", SqlDbType.Int);方式四:以参数名、类型、大小 创建参数
SqlParameter para4 = new SqlParameter("@UserPwd", SqlDbType.VarChar, 50);
para4.Value = "123456";方式五:以参数名、类型、大小、源列名(对应DataTable中的列名)
SqlParameter para5 = new SqlParameter("@UserName", SqlDbType.VarChar, 20, "UName");5.3 添加命令参数
在条件查询中,可以不通过参数传递值,而是拼接生成SQL语句,并包含具体的值
但是拼接SQL:容易被SQL注入--钻空子,如何解决呢?----- 使用参数
参数的使用:防SQL注入、转义
Command添加参数的几种方法
- 添加单个参数
1.SqlParameter para=new SqlParameter("@userName","lingping");
cmd.Parameters.Add(para);
2.cmd.Parameters.Add("@userName", "lingping");----这种已过时,基本不用
3.
cmd.Parameters.AddWithValue("@userName", "lingping");单个添加参数,推荐- 添加参数数组
SqlParameter[] paras=new SqlParameter[]
{new SqlParameter("@userName","lingping"),new SqlParameter("@userPwd","123456")};
cmd.Parameters.AddRange(paras); --添加参数数组5.4 参数使用
平常用的参数,主要是指输入参数,参数还包含:输出参数、输入输出参数和返回值参数。
输入参数:参数化SQL语句或存储过程中,默认使用的参数.
其他三种,主要用在存储过程里。
输出参数 存储过程里用 output 标识的参数
程序中是可以接收到存储过程里需要返回的值 而不是用return的
Direction:Output
//定义输出参数
SqlParameter paraNo = new SqlParameter("@cardNo",SqlDbType.VarChar,50);
paraNo.Direction = ParameterDirection.Output;
cmd.Parameters.Add(paraNo);
//执行命令后,接收
cmd.ExecuteNonQuery();
conn.Close();
string reNo=paraNo.Value.ToString();输入输出参数 存储过程里用output 进行标识,它需要传入值,也输出值,不用return
Direction:InputOutput
//定义输入输出参数
SqlParameter paraName = new SqlParameter("@memberName",SqlDbType.NVarChar,50);
paraName.Direction = ParameterDirection.InputOutput;
cmd.Parameters.Add(paraName);
//执行命令后,接收
cmd.ExecuteNonQuery();
conn.Close();
string reName=paraName.Value.ToString();返回值参数
它不出现在存储过程中 只可以返回的int类型 通过return 返回的值
Direction:ReturnValue
//定义输入输出参数
SqlParameter paraResult = new SqlParameter("@result",SqlDbType.Int);
paraResult.Direction = ParameterDirection.ReturnValue;
cmd.Parameters.Add(paraResult);
//执行命令后,接收
cmd.ExecuteNonQuery();
conn.Close();
int reVal=(int)paraResult.Value;//接收返回的值
