Le rôle et l'utilisation de SqlParameter en C#
Dans le développement C#, l'interaction avec la base de données est l'une des tâches courantes. Afin de garantir la sécurité et la validité des données, nous devons souvent utiliser des requêtes paramétrées pour empêcher les attaques par injection SQL. SqlParameter est une classe en C# utilisée pour créer des requêtes paramétrées. Elle fournit un moyen sûr et pratique de gérer les paramètres dans les requêtes de base de données.
Le rôle de SqlParameter
La classe SqlParameter est principalement utilisée pour ajouter des paramètres aux instructions SQL. Ses principales fonctions sont les suivantes :
Utilisation de SqlParameter
Ci-dessous, nous utilisons un exemple pour montrer comment utiliser SqlParameter pour créer des requêtes paramétrées.
Supposons que nous ayons une table nommée « Employés » qui contient l'identifiant, le nom et les informations sur le salaire des employés. Nous devons interroger les informations sur les employés dont le salaire est supérieur à un montant spécifié. Voici un exemple de code utilisant SqlParameter :
string queryString = "SELECT EmployeeID, FirstName, LastName FROM Employees WHERE Salary > @salary";
using (SqlConnection connection = new SqlConnection(connectionString))
{
SqlCommand command = new SqlCommand(queryString, connection);
command.Parameters.Add("@salary", SqlDbType.Decimal).Value = 5000; // 设置参数名称、类型和值
connection.Open();
SqlDataReader reader = command.ExecuteReader();
while (reader.Read())
{
int employeeId = (int)reader["EmployeeID"];
string firstName = reader["FirstName"].ToString();
string lastName = reader["LastName"].ToString();
Console.WriteLine($"Employee ID: {employeeId}, Name: {firstName} {lastName}");
}
reader.Close();
}Dans l'exemple ci-dessus, nous créons d'abord une chaîne de requête qui inclut le nom du paramètre "@salary". Ensuite, nous avons créé une connexion à la base de données et un objet de commande de requête à l'aide de SqlConnection et SqlCommand.
Ensuite, nous ajoutons un paramètre à la commande query en appelant la méthode command.Parameters.Add. Ici, nous spécifions le nom, le type et la valeur du paramètre. Dans cet exemple, nous utilisons SqlDbType.Decimal comme type de paramètre et définissons la valeur du paramètre sur 5 000. command.Parameters.Add方法,我们向查询命令中添加了一个参数。在这里,我们指定了参数的名称、类型和值。在这个例子中,我们使用SqlDbType.Decimal作为参数类型,并将参数值设置为5000。
最后,我们打开数据库连接,并执行查询命令。通过调用command.ExecuteReader
command.ExecuteReader et utilisez SqlDataReader pour lire les résultats ligne par ligne. Dans la boucle, nous obtenons l'ID et le nom de chaque employé via le nom de la colonne et les affichons sur la console.
Résumé
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Instruction SQL pour sauvegarder la base de données
Quelles sont les méthodes pour empêcher l'injection SQL ?
utilisation de la fonction jsreplace
Comment définir l'en-tête et le pied de page dans Word
Comment utiliser la fonction de ligne
Quelles sont les utilisations des slots vue.js ?
À quelle entreprise appartient le système Android ?
Pilote de carte son pour ordinateur portable HP
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
