目录

5.1 SqlParameter介绍

5.2 SqlParameter创建参数方式

5.3 添加命令参数

5.4 参数使用

---

 

5.1 SqlParameter介绍

SqlParameter: 表示SqlCommand对象的参数，或与DataSet中列的映射。

常用属性

DbType 参数的SqlDbType（即 数据库的类型而言）

Direction 参数的类型：输入\ 输出 \ 输入输出 \ 返回值参数

ParameterName 参数的名称

Size 最大大小 字节为单位

Value 参数的值

SqlValue 作为SQL类型的参数的值

5.2 SqlParameter创建参数方式

方式一：用无参构造函数创建参数

SqlParameter pra1 = new SqlParameter();
pra1.ParameterName = "@userName";//参数名
pra1.SqlDbType = SqlDbType.VarChar;//数据类型
pra1.Value = "admin";//参数值
pra1.Size = 20;//大小

方式二：以参数名和参数值创建参数

SqlParameter para2 = new SqlParameter("@cardNo", "2022090800001");

方式三：以参数名 和 SqlDbType 创建参数

SqlParameter para3 = new SqlParameter("@memberName", SqlDbType.Int);

方式四：以参数名、类型、大小 创建参数

SqlParameter para4 = new SqlParameter("@UserPwd", SqlDbType.VarChar, 50);
para4.Value = "123456";

方式五：以参数名、类型、大小、源列名（对应DataTable中的列名）

SqlParameter para5 = new SqlParameter("@UserName", SqlDbType.VarChar, 20, "UName");

5.3 添加命令参数

在条件查询中，可以不通过参数传递值，而是拼接生成SQL语句，并包含具体的值

但是拼接SQL：容易被SQL注入--钻空子，如何解决呢？----- 使用参数

参数的使用：防SQL注入、转义

Command添加参数的几种方法

1. 添加单个参数

1.
    SqlParameter para=new SqlParameter("@userName","lingping");
cmd.Parameters.Add(para);  
2.
    cmd.Parameters.Add("@userName", "lingping");----这种已过时,基本不用
3.
cmd.Parameters.AddWithValue("@userName", "lingping")；单个添加参数，推荐

1. 添加参数数组

SqlParameter[] paras=new SqlParameter[]
{
    new SqlParameter("@userName","lingping"),
    new SqlParameter("@userPwd","123456")
    };
cmd.Parameters.AddRange(paras);   --添加参数数组

5.4 参数使用

平常用的参数，主要是指输入参数，参数还包含：输出参数、输入输出参数和返回值参数。

输入参数：参数化SQL语句或存储过程中，默认使用的参数.

其他三种，主要用在存储过程里。

输出参数 存储过程里用 output 标识的参数

程序中是可以接收到存储过程里需要返回的值 而不是用return的

Direction:Output

//定义输出参数
SqlParameter paraNo = new SqlParameter("@cardNo",SqlDbType.VarChar,50);
paraNo.Direction = ParameterDirection.Output;
cmd.Parameters.Add(paraNo);
//执行命令后，接收
cmd.ExecuteNonQuery();
conn.Close();
string reNo=paraNo.Value.ToString();

输入输出参数 存储过程里用output 进行标识，它需要传入值，也输出值，不用return

Direction:InputOutput

//定义输入输出参数
SqlParameter paraName = new SqlParameter("@memberName",SqlDbType.NVarChar,50);
paraName.Direction = ParameterDirection.InputOutput;
cmd.Parameters.Add(paraName);
//执行命令后，接收
cmd.ExecuteNonQuery();
conn.Close();
string reName=paraName.Value.ToString();

返回值参数
它不出现在存储过程中 只可以返回的int类型 通过return 返回的值
Direction:ReturnValue

//定义输入输出参数
SqlParameter paraResult = new SqlParameter("@result",SqlDbType.Int);
paraResult.Direction = ParameterDirection.ReturnValue;
cmd.Parameters.Add(paraResult);
//执行命令后，接收
cmd.ExecuteNonQuery();
conn.Close();
int reVal=(int)paraResult.Value;//接收返回的值