c#Command的Parameters使用
stringsql="selectt.*fromlife_usertwhere1=1andUSER_NAME=:USER_NAME";privatevoidCreateT...
string sql="select t.* from life_user t where 1=1 and USER_NAME=:USER_NAME";
private void CreateTextCommand(string sqlStatement, params SqlParameter[] paras)
{
// 将connection数据连接于command绑定
this.command = this.connection.CreateCommand();
// 指定sql语句类型
this.command.CommandType = System.Data.CommandType.Text;
// 绑定sql语句
this.command.CommandText = sqlStatement;
// 事物绑定
this.command.Transaction = this.transaction;
foreach (SqlParameter parameter in paras)
{
//
System.Data.Common.DbParameter dbParameter = command.CreateParameter();
// 参数名
dbParameter.ParameterName = parameter.Name;
// 参数类型
dbParameter.DbType = parameter.DbType;
// 参数值
dbParameter.Value = parameter.Value;
// 添加参数
this.command.Parameters.Add(dbParameter);
}
}
能帮我看一下这段代码有什么问题么 展开
private void CreateTextCommand(string sqlStatement, params SqlParameter[] paras)
{
// 将connection数据连接于command绑定
this.command = this.connection.CreateCommand();
// 指定sql语句类型
this.command.CommandType = System.Data.CommandType.Text;
// 绑定sql语句
this.command.CommandText = sqlStatement;
// 事物绑定
this.command.Transaction = this.transaction;
foreach (SqlParameter parameter in paras)
{
//
System.Data.Common.DbParameter dbParameter = command.CreateParameter();
// 参数名
dbParameter.ParameterName = parameter.Name;
// 参数类型
dbParameter.DbType = parameter.DbType;
// 参数值
dbParameter.Value = parameter.Value;
// 添加参数
this.command.Parameters.Add(dbParameter);
}
}
能帮我看一下这段代码有什么问题么 展开
3个回答
展开全部
不知所云,你是说的SqlParameter?
string sql="select t.* from life_user t where 1=1 and USER_NAME=@USER_NAME";
SqlParameter parame=new SqlParameter("@USER_NAME"," fengyunluyun");//参数
command.Parameters.Add(parame);
参数化参数,最常见的使用原因是 防止sql注入
string sql="select t.* from life_user t where 1=1 and USER_NAME=@USER_NAME";
SqlParameter parame=new SqlParameter("@USER_NAME"," fengyunluyun");//参数
command.Parameters.Add(parame);
参数化参数,最常见的使用原因是 防止sql注入
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
