SqlParameter的作用与用法

一般来说，在更新DataTable或是DataSet时，如果不采用SqlParameter，那么当输入的Sql语句出现歧义时，如字符串中含有单引号，程序就会发生错误，并且他人可以轻易地通过拼接Sql语句来进行注入攻击。

专注于为中小企业提供成都网站制作、成都网站设计服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业克拉玛依免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了上1000家企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

 
 
   
  
  string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter     
  
  SqlConnection conn = new SqlConnection();     
  
  conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";//连接字符串与数据库有关     
  
  SqlCommand cmd = new SqlCommand(sql, conn);     
  
  try     
  
  {     
  
  conn.Open();     
  
  return(cmd.ExecuteNonQuery());     
  
  }     
  
  catch (Exception)     
  
  {     
  
  return -1;     
  
  throw;     
  
  }     
  
  finally     
  
  {     
  
  conn.Close();     
  
  }

上述代码未采用SqlParameter，除了存在安全性问题，该方法还无法解决二进制流的更新，如图片文件。通过使用SqlParameter可以解决上述问题，常见的使用方法有两种，Add方法和AddRange方法。

一、Add方法

 
 
   
  
  SqlParameter sp = new SqlParameter("@name", "Pudding");     
  
  cmd.Parameters.Add(sp);     
  
  sp = new SqlParameter("@ID", "1");     
  
  cmd.Parameters.Add(sp);

该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。

二、AddRange方法

 
 
   
  
  SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name", "Pudding"), new SqlParameter("@ID", "1") };     
  
  cmd.Parameters.AddRange(paras);

显然，Add方法在添加多个SqlParameter时不方便，此时，可以采用AddRange方法。　

下面是通过SqlParameter向数据库存储及读取图片的代码。

 
 
   
  
  view sourceprint?01 public int SavePhoto(string photourl)     
  
  {     
  
  FileStream fs = new FileStream(photourl, FileMode.Open, FileAccess.Read);//创建FileStream对象，用于向BinaryReader写入字节数据流     
  
  BinaryReader br = new BinaryReader(fs);//创建BinaryReader对象，用于写入下面的byte数组     
  
  byte[] photo = br.ReadBytes((int)fs.Length); //新建byte数组，写入br中的数据     
  
  br.Close();//记得要关闭br     
  
  fs.Close();//还有fs     
  
  string sql = "update Table1 set photo = @photo where ID = '0'";     
  
  SqlConnection conn = new SqlConnection();     
  
  conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";     
  
  SqlCommand cmd = new SqlCommand(sql, conn);     
  
  SqlParameter sp = new SqlParameter("@photo", photo);     
  
  cmd.Parameters.Add(sp);     
  
  try     
  
  {     
  
  conn.Open();     
  
  return (cmd.ExecuteNonQuery());     
  
  }     
  
  catch (Exception)     
  
  {     
  
  return -1;     
  
  throw;     
  
  }     
  
  finally     
  
  {     
  
  conn.Close();     
  
  }     
  
  }     
  
  public void ReadPhoto(string url)     
  
  {     
  
  string sql = "select photo from Table1 where ID = '0'";     
  
  SqlConnection conn = new SqlConnection();     
  
  conn.ConnectionString = "Data Source=.\\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\\Database.mdf;User Instance=true";     
  
  SqlCommand cmd = new SqlCommand(sql, conn);     
  
  try     
  
  {     
  
  conn.Open();     
  
  SqlDataReader reader = cmd.ExecuteReader();//采用SqlDataReader的方法来读取数据     
  
  if (reader.Read())     
  
  {     
  
  byte[] photo = reader[0] as byte[];//将第0列的数据写入byte数组     
  
  FileStream fs = new FileStream(url,FileMode.CreateNew);创建FileStream对象，用于写入字节数据流     
  
  fs.Write(photo,0,photo.Length);//将byte数组中的数据写入fs     
  
  fs.Close();//关闭fs     
  
  }     
  
  reader.Close();//关闭reader     
  
  }     
  
  catch (Exception ex)     
  
  {     
  
  throw;     
  
  }     
  
  finally     
  
  {     
  
  conn.Close();     
  
  }     
  
  }     
  
  }

【编辑推荐】

ASP.net的身份验证方式FORMS
ASP.Net中保护自定义的服务器控件
大型高性能ASP.NET系统架构设计
ASP.NET配置文件Web.config详细解释
VB.NET和ASP.NET编码规范

本文标题：SqlParameter的作用与用法
链接地址：http://www.hantingmc.com/qtweb/news49/394149.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容