C#——SqlParameter的使用方法及注意事项

link管理
链接快照平台
输入网页链接，自动生成快照
标签化管理网页链接
SqlParameter可以防止sql注入问题，这里记录下使用方法及代码。

1.封装的sqlHelper类中的数据库操作方法(部分代码，具体可参见  .net 使用SQLconnection连接数据库及SQL帮助类 )

//这里要填入你的数据库连接字符串
private static string connectionString = "*************************";
        /// <summary>
        /// 执行增、删、改的方法
        /// </summary>
        /// <param name="sql">预计执行的非SELECT查询语句</param>
        /// <param name="param">SQL语句中的可变参数</param>
        /// <returns>返回受影响的行数</returns>
        public static int ExecuteNonQuery(string sql, params SqlParameter[] param)
            using (SqlConnection conn = new SqlConnection(connectionString))
                    conn.Open();
                    SqlCommand cmd = new SqlCommand(sql, conn);
                    cmd.Parameters.AddRange(param);
                    return cmd.ExecuteNonQuery();
                catch (Exception ex)
                    Console.WriteLine("异常信息：\n" + ex.Message);
                    return -2;
2.使用SqlParameter的代码：
 
        public static void TestSqlParameter()
            string sqlValue = "insert into out_in_storage(day_night_shift,record_acc," +
                "record_name,handle_acc,handle_name,is_outed,product_line,fixure_id,log_time) " +
                "values(@day_night_shift,@record_acc,@record_name,@handle_acc,@handle_name,@is_outed," +
                "@product_line,@fixure_id,@log_time)";
            SqlParameter[] parameters = {
            new SqlParameter("@day_night_shift","day"),
            new SqlParameter("@record_acc", "123"),
            new SqlParameter("@record_name", "张飞"),
            new SqlParameter("@handle_acc", "2"),
            new SqlParameter("@handle_name", "operator"),
            new SqlParameter("@is_outed", 1),
            new SqlParameter("@product_line", "1"),
            new SqlParameter("@fixure_id", "2"),
            new SqlParameter("@log_time", "2019/2/18")
            int affectCount = SqlHelper.ExecuteNonQuery(sqlValue, parameters);
            Console.WriteLine("影响行数："+affectCount);
这里使用了控制台程序进行测试，运行代码的截图如下:
 




    
 
2.这里使用SQLparameter时要注意一点，在前面定义string类型字符串时，对于数据库中varchar类型的数据不需要再添加单引号！！！这是我在后面的使用中所犯的一个错误。下面给出具体的错误例子代码：
 
错误代码示例： 
        public static void TestUpdateParameter()
            string str = "6;7;8";
            string[] strArray = str.Split(';');
            //下面定义的字符串是错误的，需要将@fixure_id两边的单引号删去，才是正确的写法，这样是执行
            string sqlValue = "update fixure_entity set entity_status_id=2 where fixure_id='@fixure_id'";
            SqlParameter[] parameters =
                new SqlParameter("@fixure_id",strArray[0])
                int count= SqlHelper.ExecuteNonQuery(sqlValue, parameters);
                Console.WriteLine(count);
正确代码示例：(将单引号删去) 
        public static void TestUpdateParameter()
            string str = "6;7;8";
            string[] strArray = str.Split(';');
            string sqlValue = "update fixure_entity set entity_status_id=2 where fixure_id=@fixure_id";
            SqlParameter[] parameters =
                new SqlParameter("@fixure_id",strArray[0])
                int count= SqlHelper.ExecuteNonQuery(sqlValue, parameters);
                Console.WriteLine(count);
3.最后给出一个批量插入多条记录的代码示例（仅供参考，基于第一点的代码）
 
public static void TestSqlParameter()
            string str = "6;7;8";
            string[] strArray = str.Split(';');
            string sqlValue = "insert into out_in_storage(day_night_shift,record_acc," +
                "record_name,handle_acc,handle_name,is_outed,product_line,fixure_id,log_time) " +
                "values(@day_night_shift,@record_acc,@record_name,@handle_acc,@handle_name,@is_outed," +
                "@product_line,@fixure_id,@log_time)";
            SqlParameter[] parameters = {
            new SqlParameter("@day_night_shift","day"),
            new SqlParameter("@record_acc", "123"),
            new SqlParameter("@record_name", "张飞"),
            new SqlParameter("@handle_acc", "2"),
            new SqlParameter("@handle_name", "operator"),
            new SqlParameter("@is_outed", 1),
            new SqlParameter("@product_line", "1"),
            new SqlParameter("@fixure_id", "1"),
            new SqlParameter("@log_time", "2019/2/18")
            int affectCount = 0;
            int totalCount = 0;
            for (int i = 0; i < strArray.Length; i++)
                parameters[7] = new SqlParameter("@fixure_id", strArray[i]);
                affectCount = SqlHelper.ExecuteNonQuery(sqlValue, parameters);
                totalCount += affectCount;
            Console.WriteLine("影响行数：" + totalCount);
4.SQLparameter使用时还有一个注意点：SqlParameter如果传入0会变成NULL
 
错误测试代码： 
SqlParameter parm = new SqlParameter("@id",0);
调试时候发现@id值变成null，无法正确调用。 
正确写法： 
SqlParameter parm = new SqlParameter("@id",Convert.ToInt32(0));
微软官方解释：
 
 微软官方的参考文档：
 SqlParameter 构造函数
  最近开始敲了两条线,发现以前对数据库的操作是不安全的,因为通过SQL语句的方式，有时候存在脚本注入的危险，所以在大多数情况下不用拼接SQL语句字符串方式，希望通过SqlParameter实现来实现对数据的操作，针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类，只是比SQL语句的方式多了一个SqlParameter的参数。它表示SqlCommand...
                                     C# 中SqlParameter类的使用方法小结在c#中执行sql语句时传递参数的小经验 1、直接写入法：      例如：             int Id =1;             string Name="lui";             cmd.CommandText="insert into TUserLogin values("+Id+","
                                    1.SqlParameter表示SqlCommand的参数，也可以是他到DataSet列的映射
到目前为止，我只理解了前半句话，SqlParameter类型的数组作为SqlCommand的参数存在，配合转义字符@，可以有效的防止' or 1=1--单引号而截断字符串，这一经典的注入语句，有效提高拼接型sql命令的安全性。
#region 传入参数并且转换为SqlParamet...
                                    sqlParameter对象的作用是将要用于操作数据库的数据（如根据ID查询时要用到id）以参数的形式加入到sql语句中，防止因为拼接字符串而引起的安全问题并且提高可读性。所以使用是要先创建一个sqlParameter对象，在定义时或定义后（取决于创建时调用的哪一个构造函数）将数据绑定到参数。在执行操作之前，用SQLcommand.Parameter的Add方法（单个SQLparameter对象）...
                                    一个简单的demo，SQL帮助类见：
C# 之SqlServer帮助类（SQLHelper），可以直接调用
string sqlCon = "server=.;uid=sa;pwd=sa;database=AssociationsManagementDb";
            MySQLHelper.connectionString = sqlCon;
                string inser