實(shí)現(xiàn)SqlParameter方式

悟靜 2012-02-16

展開(kāi)全文

實(shí)現(xiàn)SqlParameter方式

因?yàn)橥ㄟ^(guò)SQL語(yǔ)句的方式，有時(shí)候存在腳本注入的危險(xiǎn)，所以在大多數(shù)情況下不建議用拼接SQL語(yǔ)句字符串方式，希望通過(guò)SqlParameter實(shí)現(xiàn)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的操作，針對(duì)SqlParameter的方式我們同樣可以將其封裝成一個(gè)可以復(fù)用的數(shù)據(jù)訪問(wèn)類(lèi)，只是比SQL語(yǔ)句的方式多了一個(gè)SqlParameter的參數(shù)。

具體代碼如下：

//<summary>  
//執(zhí)行SQL語(yǔ)句，返回影響的記錄數(shù)  
//</summary>  
//<returns>影響的記錄數(shù)</returns>  
public static int ExecuteSql(string StrSql, params SqlParameter[] cmdParms)  
{  
    using (SqlConnection connection = new SqlConnection(conString))  
    {  
        using (SqlCommand cmd = new SqlCommand())  
        {              
            PrepareCommand(cmd, connection, null, StrSql, cmdParms);  
            int rows = cmd.ExecuteNonQuery();  
            cmd.Parameters.Clear();  
            return rows;              
        }  
    }  
}  
//<summary>  
//執(zhí)行查詢語(yǔ)句，返回DataSet  
//</summary>  
//<returns>DataSet</returns>  
public static DataSet Query(string StrSql, params SqlParameter[] cmdParms)  
{  
    using (SqlConnection connection = new SqlConnection(conString))  
    {  
        SqlCommand cmd = new SqlCommand();  
        PrepareCommand(cmd, connection, null, StrSql, cmdParms);  
        using (SqlDataAdapter da = new SqlDataAdapter(cmd))  
        {  
            DataSet ds = new DataSet();              
            da.Fill(ds, "ds");  
            cmd.Parameters.Clear();              
            return ds;  
        }  
    }  
}

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買(mǎi)等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自：悟靜 > 《.net和asp.net》

舉報(bào)/認(rèn)領(lǐng)