SqlParameter的作用与用法 一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 SqlParameter sp = new SqlParameter("@name", "Pudding"); cmd.Parameters.Add(sp); sp = new SqlParameter("@ID", "1"); cmd.Parameters.Add(sp);
后面怎么写 我不怎么会使用@ 你们@name是用的占位符吗?
在sql中, @一般用来表示自己定义的一个变量。 public static DataTable DtGetUserInfo(string strUid, string StrPwd) { string strSql = "select * From UserInfo Where UserName=@UserName And Password=@Password"; var sqlcon = new SqlConnection("数据库连接字符串"); SqlCommand sqlcmd = new SqlCommand(strSql, sqlcon); sqlcmd.Parameters.AddRange( new[] { new SqlParameter("@UserName",strUid), new SqlParameter("@Password",StrPwd) } ); DataTable dt = new DataTable(); SqlDataAdapter adpter = new SqlDataAdapter(sqlcmd); adpter.Fill(dt); return dt; }
SqlParameter sp = new SqlParameter("@name", "Pudding");
cmd.Parameters.Add(sp);
sp = new SqlParameter("@ID", "1");
cmd.Parameters.Add(sp);
后面怎么写 我不怎么会使用@ 你们@name是用的占位符吗?
public static DataTable DtGetUserInfo(string strUid, string StrPwd)
{
string strSql = "select * From UserInfo Where UserName=@UserName And Password=@Password";
var sqlcon = new SqlConnection("数据库连接字符串");
SqlCommand sqlcmd = new SqlCommand(strSql, sqlcon);
sqlcmd.Parameters.AddRange(
new[]
{
new SqlParameter("@UserName",strUid),
new SqlParameter("@Password",StrPwd)
}
);
DataTable dt = new DataTable();
SqlDataAdapter adpter = new SqlDataAdapter(sqlcmd);
adpter.Fill(dt);
return dt;
}