c#,SqlParameter该怎么用啊?菜鸟求助

2024-12-23 06:55:43
推荐回答(5个)
回答1:

对楼上的回答无语,别乱误导人家。
楼上的是asp典型的用法,用SqlParameter不但可以使代码清析,减少出错情况,更可减少可能的sql注入。
改法如下:
public bool landing(string user, string password)
{
string sql = "select *from shopuserinfo where(users=@users and passwords=@passwords)";
SqlParameter meter;
SqlCommand cm = new SqlCommand();
meter = new SqlParameter("@users", user);
cm.Parameters.Add(meter);
meter = new SqlParameter("@passwords", password);
cm.Parameters.Add(meter);
SqlDataReader dr = cm.ExecuteReader();
}

回答2:

SqlParameter一般用在调用存储过程方面,就是向存储过程传递参数。你的例子不需要存储过程,所以直接改sql语句为好
string sql = "select *from shopuserinfo where users='"+user+"' and passwords='"+password+"'";
SqlCommand cm = new SqlCommand(sql,conn);
SqlDataReader dr = cm.getreader(sql);
**************
你的help是哪来的?还有,你应该建立数据库连接啊,sqlconnection conn=new..

回答3:

参数就是相当于函数的形参,可以根据你传入不同的Value而执行不同的操作。
public bool landing(string user, string password)
{
string sql = "select *from shopuserinfo where(users=@users and passwords=@passwords)";
SqlParameter meter,meter1;
SqlCommand cm = new SqlCommand();
meter = new SqlParameter("@users", user);
meter.value=user;
cm.Parameters.Add(meter);
meter1 = new SqlParameter("@passwords", password);
meter1.value=password
cm.Parameters.Add(meter1);
SqlDataReader dr = cm.ExecuteReader();
}
可以防止注入,增加灵活性。也就是说你可以给landing函数传不同的实参,他会给meter不同的Value。从而去判断系统是否存在这样的用户,再去放回bool值

回答4:

areshh正解
如果不用SqlParameter有些数据是无法存进数据库的,比如二进制数据等等。

回答5:

areshh正解