.NET 出现参数化查询 需要参数但未提供该参数的错误

1、问题的来源

　在.NET或者C#中，我们一般执行sql语句的话，推荐使用参数化查询，这样可以避免sql注入的攻击，但是，我在使用参数化查询的时候

出现了以下的错误，详细如下图：

图一这是写sql语句参数化查询的代码

图2 这是MSSQL执行的sql语句

2、问题的原因

  出现这种错误的原因在于，在参数化查询的时候，有几个参数的值为null，这样的话，就出现了如图2所示的错误。

为啥会这样了？？

虽然参数的值就是为null,传入数据库中就必须变成DbNull.Value
因为此null为c#的,而DbNull.Value才是数据库中的null
那为什么会报错呢?
因为你是传入参数啊,如果你给参数@nickname赋值为null,相当于没赋,因为cmd.Parameters[nickname].Value的默认值就是null,而不是DbNull.Value 。

3、如何解决问题(以下不是唯一方法)

  public object CheckIsNull(object obj)    //此方法判断要传递的参数是否为null， 如果为Null, 则返回值DBNLL.Value,主要用户网数据库添加或者更新数据
        {
            if(obj==null)
            {
                return DBNull.Value;
            }
            else
            {
                return obj;
            }
        }

  public object CheckIsDbNull(object obj)    //此方法是从数据库中读取数据，如果数据库中的数据为DBNull.Value, 则返回null
        {
            if(Convert.IsDBNull(obj))
            {
                return null;
            }
            else
            {
                return obj;
            }
        }

DBNULL 与NULL的区别

Null是.net中无效的对象引用。

DBNull是一个类。DBNull.Value是它唯一的实例。它指数据库中数据为空(<NULL>)时，在.net中的值。

null表示一个对象的指向无效，即该对象为空对象。

DBNull.Value表示一个对象在数据库中的值为空，或者说未初始化，DBNull.Value对象是指向有效的对象。

DBNull在DotNet是单独的一个类型 System.DBNull 。它只有一个值 DBNull.Value 。DBNull 直接继承 Object ，所以 DBNull 不是 string , 不是 int , 也不是 DateTime 。。。

但是为什么 DBNull 可以表示数据库中的字符串，数字，或日期呢？原因是DotNet储存这些数据的类（DataRow等）都是以 object 的形式来储存数据的。

对于 DataRow , 它的 row[column] 返回的值永远不为 null ， 要么就是具体的为column 的类型的值 。要么就是 DBNull 。 所以 row[column].ToString() 这个写法永远不会在ToString那里发生NullReferenceException，但有可能抛下标越界的异常。

DBNull 实现了 IConvertible 。 但是，除了 ToString 是正常的外，其他的ToXXX都会抛出不能转换的错误。

在 IDbCommand(OleDbCommand,SqlCommand...) 的ExecuteScalar的返回值中，情况可以这样分析：

select 1 这样返回的object是 1

select null 这样返回的是DBNull.Value

select isnull(null,1) 返回的是 1

select top 0 id from table1 这样返回的值是null

select isnull(id,0) from table1 where 1=0 返回的值是null

这里 ExecuteScalar 的规则就是，返回第一列，第一行的数据。如果一行都没有，那么ExecuteScalar就返回null。如果有第一行，但是第一列为空，那么返回的是 DBNull 。如果第一列第一行不为空，那么ExecuteScalar就直接对应的DotNet的值。

规则就是这样的。这里容易犯的一个错误是，把ExecuteScalar返回DBNull与null的情况混淆，例如：

string username=cmd.ExecuteScalar().ToString();

除非你认为cmd执行后，肯定至少有一行数据，否则这里就会出错。

又或者 select id from usertable where username=@name 这样的sql语句，如果找不到记录，那么ExecuteScalar则会返回null,所以千万不要

int userid=Convert.ToInt32(cmd.ExecuteScalar());

或者你会这样写 SQL 语句：select isnull(id,0) from usertable where username=@name

但是 int userid=Convert.ToInt32(cmd.ExecuteScalar()); 依然会出错，因为上面的语句不成立时，仍然是不返回任何行。

对于IDbDataParameter(OleDDbParameter,SqlParameter..)的Value，如果为null,则代表该参数没有指定，或者是代表DEFAULT。如果为DBNull.Value，则代表SQL中的NULL

所以，如果你要调用存储过程，里面有默认参数 @val nvarchar(20)="C" ,

那么cmd.Parameters["@val"].Value=null 代表使用这个默认的 "C"

而cmd.Parameters["@val"].Value=DBNull.Value 代表使用NULL来传给 @val

你可以用Convert.IsDBNull来判断一个值是否DBNull。注意Convert.IsDBNull(null)是false，也就是说null跟DBNull.Value是不等的。