摘要:
C# 中SqlParameter类的使用方法小结在c#中执行sql语句时传递参数的小经验?1、直接写入法:????? 例如:???????????? int Id =1;???????????? string Name="lui";???????????? cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')";??????? 因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"即可实现 阅读全文
摘要:
在.NET中要访问MySql,我采用的是MySql官方提供的.NET connector,此驱动只需要下载即可使用:http://dev.mysql.com/downloads/connector/net/1.0.html 在使用中积累了几点经验: 1)使用Parameter参数形式提交Command时必须要把"@"号换成"?"号,这一点让我困惑了一天,只是不明白MySQL为何要搞特殊呢,象MS、ODP.NET for Oracle、OleDb等方式,都是用"@"号的。 例子如下:string connstr=Setting.Inst 阅读全文
摘要:
1.SqlParameter表示SqlCommand的参数,也可以是他到DataSet列的映射到目前为止,我只理解了前半句话,SqlParameter类型的数组作为SqlCommand的参数存在,配合转义字符@,可以有效的防止' or 1=1--单引号而截断字符串,这一经典的注入语句,有效提高拼接型sql命令的安全性。例:?#region 传入参数并且转换为SqlParameter类型/// <summary>/// 转换参数/// </summary>/// <param name="ParamName">存储过程名称或命令文本 阅读全文