上篇博客写了关于重构代码用到的SQLHelper类,这个类包括四种函数,根据是否含参和是否有返回值各分两种.在这里写写传参过程用到的SqlParameter. 如果我们使用如下拼接sql字符串的方式进行数据库操作存在脚本注入的危险: Dim sql As String = "insert into T_Loginlog(userID,loginDate,loginTime,computer)values('" + Enloginlog.user_userID + "','&q

前2天在使用SqlParameter传递参数的时候遇到一个小坑,这里分享一下. SqlParameter para=new SqlParameter("@IsDeleted",0); 这样传递参数,到数据库执行的时候后面的参数将会变为default,当类型为int时必定产生错误.下面为正确的方法: Parameter = new SqlParameter("@pname", Convert.ToInt32(0)); 这是因为如果不执行该转换,则编译器将认为您尝试调用

对于sql语句中一个@的参数@au_id,在sqlParameter中,可以用@au_id,也可以用au_id. 要是bt点的,用两个@,你就不能随便省略@了. 对于sql语句 : select * from authors where au_id=@@au_id在SqlParameter中,也只能用@@au_id,而不能是@au_id,或au_id.

List<SqlParameter> paras = new List<SqlParameter>(); paras.Add(new SqlParameter("@mi_id", mid)); if (state!="") { sql += " and mi_state=@state "; paras.Add(new SqlParameter("@state", state)); } if (categ

看到很多朋友在实例化SqlParameter时,通常都没有指定参数的长度就直接给参数赋值了.就像下面的写法: new SqlParameter("@address", SqlDbType.Varchar) { Value = address}; 以前也一直都觉的加与不加参数长度应该没有什么区别,仅是写法上的不同而已,直到做完这个项目,才明白其实两者不一样的,为了提高sql执行速度,请为SqlParameter参数加上size属性. 下面我们分析一下两者的区别: 根据MSDN解释:如果未

一般情况下,我们定义的一个SqlParameter参数数组,如: SqlParameter[] parms =             {                new SqlParameter("@DateTime1", dtBegin),                new SqlParameter("@DateTime2", dtEnd)            }; 如果只给一个SqlCommand使用,这种情况的参数使用,不会出现异常,但如果该参数

出处:http://www.cnblogs.com/OldYongs/archive/2011/03/12/1982021.html#2742742 一般情况下,我们定义的一个SqlParameter参数数组,如: SqlParameter[] parms =             {                 new SqlParameter("@DateTime1", dtBegin),                 new SqlParameter("@Dat

前些天写用户注册模块,用存储过程添加用户,一开始就报“为过程或函数sp_Adduser指定了过多的参数”.仔细检查数据层的用户添加函数,结果在为存储过程添加sqlparameter参数的时候,数组给写错位了(参数太多).改正后,编译执行,结果还是报“为过程或函数sp_Adduser指定了过多的参数”.自己把存储过程程序对照了好几遍,没问题.到网上搜索,原来在执行存储过程的时候,如果以sp开头,用户创建的存储过程,总会先检查master数据库(即使该存储过程已用数据库名称限定).   如果用户创建

MVC 5 调用存储过程参数配置方法-Procedure or function 'UP_***' expects parameter '@****', which was not supplied. 通过Database.SqlQuery调用SQL2016的存储过程,传入参数,返回结果集合.总是报如下错误 Msg 201, Level 16, State 4, Procedure UP_***, Line 0 [Batch Start Line 15]Procedure or function

C#中的null与SQL中的NULL是不一样的,SQL中的NULL用C#表示出来就是DBNull.Value. 注意:SQL参数是不能接受C#的null值的,传入null就会报错. SqlCommand cmd=new SqlCommand("Insert into Student values(@StuName,@StuAge)" ,conn); cmd.parameters.add("@StuName" ,stuName); cmd.parameters.add

/// <summary> /// <remarks> /// <para>将实体类/匿名对象转换为SqlParameter列表</para> /// <para>示例1: 实体类</para> /// <para>EntityClass entityClass = new EntityClass(){ Id = 1 , Name="名称"}; SqlParameter[] parms = entity

一般情况下,我们定义的一个SqlParameter参数数组,如: SqlParameter[] parms =             {                new SqlParameter("@DateTime1", dtBegin),                new SqlParameter("@DateTime2", dtEnd)            }; 如果只给一个SqlCommand使用,这种情况的参数使用,不会出现异常,但如果该参数

每次操作数据库参数化实在是太麻烦了,于是自己瞎琢磨,琢磨出下面扩展方式,能力有限,还有不足之处,请多多指教. /// <summary> /// <remarks> /// <para>将实体类/匿名对象转换为SqlParameter列表</para> /// <para>示例1: 实体类</para> /// <para>EntityClass entityClass = new EntityClass(){ Id =

C#中的null与SQL中的NULL是不一样的,SQL中的NULL用C#表示出来就是DBNull.Value. 注意:SQL参数是不能接受C#的null值的,传入null就会报错. 下面我们看个例子: SqlCommand cmd=new SqlCommand("Insert into Student values(@StuName,@StuAge)" ,conn); cmd.parameters.add("@StuName" ,stuName); cmd.para

一,微软SQLHelper.cs类 中文版: using System; using System.Data; using System.Xml; using System.Data.SqlClient; using System.Collections; namespace Classbao.Data { /// <summary> /// SqlServer数据访问帮助类 /// </summary> public sealed partial class SqlHelper

using System; using System.Data; using System.Xml; using System.Data.SqlClient; using System.Collections; using System.Configuration; namespace BookDAL { /// <summary> /// SqlServer数据访问帮助类 /// </summary> public sealed class SqlHelper { #region

一.数据库 /*==============================================================*/ /* DBMS name:      Microsoft SQL Server 2000                    */ /*==============================================================*/     if exists (select 1             from sy

1. DllImport是System.Runtime.InteropServices命名空间下与与非托管相关的一个属性类,负责导出从非托管的dll中导出函数信息,导出的函数在声明时必须有extern修饰:copy的dll文件可以放置在System32目录(在import时可以不写路径). 2.Marshal类可以实现托管和非托管的相互转换,它的命名空间也是System.Runtime.InteropServices,已用过Marshal.PtrToStringAnsi方法. 3.鼠标钩子WH_

SqlHelper是一个基于.NET Framework的数据库操作组件.组件中包含数据库操作方法.SqlHelper用于简化你重复的去写那些数据库连接(SqlConnection),SqlCommand,SqlDataReader等等.SqlHelper 封装过后通常是只需要给方法传入一些参数如数据库连接字符串,SQL参数等,就可以访问数据库了,很方便. sqlhelper是C#中abstract抽象类的典型应用 简介 SqlHelper是一个基于.NET Framework的数据库操作组件.

转载至: http://www.cnblogs.com/lzrabbit/archive/2012/04/21/2460978.html 错误认识1.不需要防止sql注入的地方无需参数化 参数化查询就是为了防止SQL注入用的,其它还有什么用途不知道.也不关心,原则上是能不用参数就不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK 错误认识2.参数化查询时是否指定参数类型.参数长度没什么区别 以前也一直都觉的加与不加参数长

using System; using System.Data; using System.Xml; using System.Data.SqlClient; using System.Collections; using System.Configuration; namespace BookDAL { /// <summary> /// SqlServer数据访问帮助类 /// </summary> public sealed class SqlHelper { #region