在C#中,SqlParameter类用于表示SQL命令中的参数。以下是SqlParameter类的使用方法的小结:
SqlParameter parameter = new SqlParameter();
或者可以使用SqlParameter类的构造函数来创建对象并指定参数名称和值:
SqlParameter parameter = new SqlParameter("parameterName", value);
ParameterName:设置或获取参数的名称。
Value:设置或获取参数的值。
Direction:设置或获取参数的方向(输入、输出、返回值等)。
SqlDbType:设置或获取参数的数据类型。
Size:设置或获取参数的大小。
IsNullable:设置或获取一个值,该值指示参数是否可为空。
例如:
parameter.ParameterName = "parameterName";
parameter.Value = value;
parameter.Direction = ParameterDirection.Input;
parameter.SqlDbType = SqlDbType.VarChar;
parameter.Size = 50;
parameter.IsNullable = true;
command.Parameters.Add(parameter);
command.ExecuteNonQuery(); // 执行非查询语句(如INSERT、UPDATE、DELETE)
command.ExecuteScalar(); // 执行查询语句并返回第一行第一列的结果
command.ExecuteReader(); // 执行查询语句并返回一个SqlDataReader对象
总结:使用SqlParameter类可以安全地将参数传递给SQL命令,避免SQL注入攻击,并提高性能和安全性。