SqlParameter的用法

SqlParameter

需积分: 9 49 下载量 173 浏览量 2009-10-19 17:53:32 上传评论收藏 4KB TXT 举报

温馨提示

试读

5页

SqlParameter的用法，详细说明。给你帮助

资源推荐

资源详情

资源评论

SqlParameter的用法

1.SqlParameter表示SqlCommand的参数，也可以是他到DataSet列的映射

到目前为止，我只理解了前半句话，SqlParameter类型的数组作为SqlCommand的参数存在，配合转义字符@，可以有效的防止' or 1=1--单引号而截断字符串，这一经典的注入语句，有效提高拼接型sql命令的安全性。

例：

#region 传入参数并且转换为SqlParameter类型
/// <summary>
/// 转换参数
/// </summary>
/// <param name="ParamName">存储过程名称或命令文本</param>
/// <param name="DbType">参数类型</param></param>
/// <param name="Size">参数大小</param>
/// <param name="Value">参数值</param>
/// <returns>新的 parameter 对象</returns>
public SqlParameter MakeInParam(string ParamName, SqlDbType DbType, int Size, object Value)
{
return MakeParam(ParamName, DbType, Size, ParameterDirection.Input, Value);
}

/// <summary>
/// 初始化参数值
/// </summary>
/// <param name="ParamName">存储过程名称或命令文本</param>
/// <param name="DbType">参数类型</param>
/// <param name="Size">参数大小</param>

本内容试读结束，登录后可阅读更多

下载后可阅读完整内容，剩余4页未读，立即下载

评论收藏

内容反馈

资源评论