怎样用C#的SqlParameter传递参数

在C#中，使用SqlCommand对象的SqlParameter对象可以方便地向SQL查询传递参数。以下是使用SqlParameter传递参数的步骤：

1. 首先，确保已安装并引用了System.Data.SqlClient命名空间。

using System.Data;
using System.Data.SqlClient;

2. 创建一个SqlConnection对象，用于连接到数据库。

string connectionString = "your_connection_string";
SqlConnection connection = new SqlConnection(connectionString);

3. 打开数据库连接。

connection.Open();

4. 创建一个SqlCommand对象，并指定要执行的SQL查询。

string sqlQuery = "SELECT * FROM your_table WHERE column1 = @parameter1 AND column2 = @parameter2";
SqlCommand command = new SqlCommand(sqlQuery, connection);

在这个例子中，@parameter1 和 @parameter2 是我们要传递的参数。

5. 创建SqlParameter对象，并将它们添加到SqlCommand对象的Parameters集合中。

SqlParameter parameter1 = new SqlParameter("@parameter1", SqlDbType.VarChar) { Value = "value1" };
SqlParameter parameter2 = new SqlParameter("@parameter2", SqlDbType.Int) { Value = 123 };

command.Parameters.Add(parameter1);
command.Parameters.Add(parameter2);

注意，参数名称前的符号（@）应与SQL查询中的参数名称相匹配。

6. 执行SQL查询，并处理结果。

using (SqlDataReader reader = command.ExecuteReader())
{
    while (reader.Read())
    {
        // Process the result set
    }
}

7. 最后，关闭数据库连接。

connection.Close();

现在，你已经学会了如何使用C#的SqlParameter对象向SQL查询传递参数。这种方法可以有效地防止SQL注入攻击，并提高代码的可读性和可维护性。