在C#中,使用SqlCommand对象的SqlParameter对象可以方便地向SQL查询传递参数。以下是使用SqlParameter传递参数的步骤:
using System.Data;
using System.Data.SqlClient;
string connectionString = "your_connection_string";
SqlConnection connection = new SqlConnection(connectionString);
connection.Open();
string sqlQuery = "SELECT * FROM your_table WHERE column1 = @parameter1 AND column2 = @parameter2";
SqlCommand command = new SqlCommand(sqlQuery, connection);
在这个例子中,@parameter1
和 @parameter2
是我们要传递的参数。
SqlParameter parameter1 = new SqlParameter("@parameter1", SqlDbType.VarChar) { Value = "value1" };
SqlParameter parameter2 = new SqlParameter("@parameter2", SqlDbType.Int) { Value = 123 };
command.Parameters.Add(parameter1);
command.Parameters.Add(parameter2);
注意,参数名称前的符号(@)应与SQL查询中的参数名称相匹配。
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
// Process the result set
}
}
connection.Close();
现在,你已经学会了如何使用C#的SqlParameter对象向SQL查询传递参数。这种方法可以有效地防止SQL注入攻击,并提高代码的可读性和可维护性。