實(shí)現(xiàn)SqlParameter方式

悟靜 2012-02-16

展開全文

實(shí)現(xiàn)SqlParameter方式

因?yàn)橥ㄟ^SQL語句的方式，有時(shí)候存在腳本注入的危險(xiǎn)，所以在大多數(shù)情況下不建議用拼接SQL語句字符串方式，希望通過SqlParameter實(shí)現(xiàn)來實(shí)現(xiàn)對數(shù)據(jù)的操作，針對SqlParameter的方式我們同樣可以將其封裝成一個(gè)可以復(fù)用的數(shù)據(jù)訪問類，只是比SQL語句的方式多了一個(gè)SqlParameter的參數(shù)。

具體代碼如下：

//<summary>  
//執(zhí)行SQL語句，返回影響的記錄數(shù)  
//</summary>  
//<returns>影響的記錄數(shù)</returns>  
public static int ExecuteSql(string StrSql, params SqlParameter[] cmdParms)  
{  
    using (SqlConnection connection = new SqlConnection(conString))  
    {  
        using (SqlCommand cmd = new SqlCommand())  
        {              
            PrepareCommand(cmd, connection, null, StrSql, cmdParms);  
            int rows = cmd.ExecuteNonQuery();  
            cmd.Parameters.Clear();  
            return rows;              
        }  
    }  
}  
//<summary>  
//執(zhí)行查詢語句，返回DataSet  
//</summary>  
//<returns>DataSet</returns>  
public static DataSet Query(string StrSql, params SqlParameter[] cmdParms)  
{  
    using (SqlConnection connection = new SqlConnection(conString))  
    {  
        SqlCommand cmd = new SqlCommand();  
        PrepareCommand(cmd, connection, null, StrSql, cmdParms);  
        using (SqlDataAdapter da = new SqlDataAdapter(cmd))  
        {  
            DataSet ds = new DataSet();              
            da.Fill(ds, "ds");  
            cmd.Parameters.Clear();              
            return ds;  
        }  
    }  
}

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：悟靜 > 《.net和asp.net》

舉報(bào)/認(rèn)領(lǐng)