以下是学习笔记:
一,常用的sql语句写法
1,直接写入的
对于非值类型,两边各加一个单引号(')
【例1】
int Id =1;
string Name="lui";
cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')";
因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"即可实现,而 Name是字符串,所以在传递的时候还需要在"+Name+"两边各加一个单引号(')来实现;
2,占位符的字符串拼接
【例2】
//定义SQL语句 string sql = "insert into Students (StudentName,Gender,DateOfBirth,StudentIdNo,Age,PhoneNumber,StudentAddress,ClassId)"; sql += "values( '{0}', '{1}', '{2}','{3}', '{4}','{5}','{6}','{7}')"; sql = string.Format(sql, "包子", "男", "1989-07-11", "123456789012345678", 20, "18668488888", "杭州", 1); //调用通用数据访问类 int result = SQLHelper.ExecuteNonQuery(sql,null); Console.WriteLine(result);
以上,在实际开发中,直接写字符串或使用占位符的方式,会有潜在的危险。(注入式攻击)
以下解决问题:
二,通过带参数的SQL语句和存储过程实现(推荐)
【例1】转载:https://blog.csdn.net/ymtianyu/article/details/8818192
//定义数据库连接 string strconn = "Data Source=xxx;user id=sa;pwd=;initial catalog=gltest"; SqlConnection Conn = new SqlConnection(strconn); //开启数据库 Conn.Open(); //定义操作语句,其中@即为所引用的参数 string sql = "insert into users(name,pwd) values (@name,@pwd)"; //定义参数及相关属性和要传入的值 SqlCommand cmd = new SqlCommand(sql, Conn); cmd.Parameters.Add(new SqlParameter("@name", SqlDbType.NVarChar, 50)); cmd.Parameters.Add(new SqlParameter("@pwd", SqlDbType.NVarChar, 50)); cmd.Parameters["@name"].Value = this.TextBox1.Text; cmd.Parameters["@pwd"].Value = this.TextBox2.Text; //执行sql语句 cmd.ExecuteNonQuery(); //关闭数据库 Conn.Close();
SqlCommand.Parameters.Add()添加参数到参数集
- 第一个参数是要添加的参数名
- 第二个参数是参数的数据类型
- 第三个是数据长度
Parameters的作用就是把存储过程执行结束后得到的参数传到程序里
【例2】
定义SQL语句
string sql = "insert into Products (ProductId,ProductName,UnitPrice,Unit,Discount,categoryId)"; sql += "values(@ProductId,@ProductName,@UnitPrice,@Unit,@Discount,@categoryId)"; //封装参数 //SqlParameter param1 = new SqlParameter("@ProductId", "1000900002"); //SqlParameter param2 = new SqlParameter("@ProductName", "汽水"); ////。。。。 //SqlParameter[] param = new SqlParameter[] { param1, param2 }; //以上太麻烦,我们可以直接定义参数数组 SqlParameter[] param = new SqlParameter[] { new SqlParameter("@ProductId", "1000900007"), new SqlParameter("@ProductName", "汽水"), new SqlParameter("@UnitPrice", 5), new SqlParameter("@Unit", "箱"), //new SqlParameter("@Discount",0),//参数为0报错 // new SqlParameter("@Discount","0"), //特别注意这个地方没有加双引号的,会出现参数找不到的问题。 //new SqlParameter("@Discount","1"),// 加双引号的"1"是可以执行的 new SqlParameter("@Discount",(object)0), // 当这个地方是0的时候,要使用objet转化成引用类型(官方解释) new SqlParameter("@categoryId", 3), }; //调用通用数据访问类 int result = SQLHelper.ExecuteNonQuery(sql, param); Console.WriteLine(result);
Helper类:
public static int ExecuteNonQuery(string sql, SqlParameter[] param = null) { //创建链接对象 SqlConnection conn = new SqlConnection(connString); //创建一个命令执行对象 SqlCommand cmd = new SqlCommand(sql, conn); //建议直接用构造方法 try { conn.Open(); //添加参数 if (param != null) { cmd.Parameters.AddRange(param); } return cmd.ExecuteNonQuery(); } catch (Exception ex) { //如果有必要可以在这个的记录日志.... //注意:我们通用的数据访问类是“底层”地方方法,我们捕获到异常,必须还得告诉调用者具体的异常。 string errorMsge = "调用ExecuteNonQuery方法发生异常,具体异常信息:" + ex.Message; // throw ex; //可以直接把ex对象跑出去,也可以做二次封装 throw new Exception(errorMsge); } finally //表示前面不管是否发生异常,都会执行的代码段 { conn.Close(); } }
三,SqlParameter的两个方法
1,Add方法
SqlParameter sp = new SqlParameter("@name","Pudding"); cmd.Parameters.Add(sp); sp = new SqlParameter("@ID","1"); cmd.Parameters.Add(sp);
2,AddRange方法
SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name","Pudding"),new SqlParameter("@ID","1") }; cmd.Parameters.AddRange(paras);