ADO.NET中命令参数(SqlParameter)使用示例

在.NET框架中，ADO.NET是用于访问数据的强大工具集，它提供了一种高效且灵活的方式来与各种数据库进行交互。在ADO.NET中，SqlCommand对象用于执行SQL命令，而SqlParameter对象则是SqlCommand的一部分，用来传递参数化查询的参数。参数化查询不仅提高了代码的可读性和安全性，还能防止SQL注入攻击。下面我们将深入探讨SqlCommand和SqlParameter的使用。 我们创建一个SqlConnection对象，它代表到SQL Server数据库的连接。我们需要提供连接字符串，该字符串包含了数据库的详细信息，如服务器名称、数据库名、用户名和密码。 ```csharp string connectionString = "Data Source=yourServerName;Initial Catalog=yourDatabaseName;User ID=yourUsername;Password=yourPassword;"; SqlConnection connection = new SqlConnection(connectionString); ``` 然后，我们需要打开连接： ```csharp connection.Open(); ``` 接下来，我们创建SqlCommand对象，并设置其CommandText属性为SQL命令。例如，如果我们想要根据ID查找用户，可以这样写： ```csharp string sql = "SELECT * FROM Users WHERE ID = @UserID"; SqlCommand command = new SqlCommand(sql, connection); ``` 在这里，`@UserID`就是我们的参数占位符。现在，我们创建SqlParameter对象并将其添加到SqlCommand的Parameters集合中： ```csharp SqlParameter parameter = new SqlParameter("@UserID", SqlDbType.Int); parameter.Value = 123; // 这里假设ID为123 command.Parameters.Add(parameter); ``` 参数的SqlDbType属性定义了参数的数据类型，Value属性则设置了参数的值。 执行命令通常有两种方式：ExecuteReader()用于获取结果集，ExecuteNonQuery()用于执行不返回结果的命令（如INSERT、UPDATE或DELETE）： ```csharp // 如果需要获取结果集 using (SqlDataReader reader = command.ExecuteReader()) { while (reader.Read()) { Console.WriteLine($"ID: {reader["ID"]}, Name: {reader["Name"]}"); } } // 如果是执行非查询命令 int rowsAffected = command.ExecuteNonQuery(); Console.WriteLine($"Rows affected: {rowsAffected}"); ``` 别忘了关闭数据库连接： ```csharp connection.Close(); ``` 在提供的压缩包中，你将找到一个完整的示例项目，其中包括数据库和代码，可以直接运行以观察参数化查询的实际效果。通过这个示例，你可以更直观地了解如何在实际开发中运用SqlCommand和SqlParameter。 ADO.NET的SqlCommand和SqlParameter是数据库操作的核心组件，通过它们，我们可以安全、高效地执行各种SQL命令。在处理动态生成的SQL时，一定要使用参数化查询，以确保代码的安全性并优化性能。