Maison > Article > développement back-end > Requêtes paramétrées en C# à l'aide de SqlParameter
Le rôle et l'utilisation de SqlParameter en C#
Dans le développement C#, l'interaction avec la base de données est l'une des tâches courantes. Afin de garantir la sécurité et la validité des données, nous devons souvent utiliser des requêtes paramétrées pour empêcher les attaques par injection SQL. SqlParameter est une classe en C# utilisée pour créer des requêtes paramétrées. Elle fournit un moyen sûr et pratique de gérer les paramètres dans les requêtes de base de données.
Le rôle de SqlParameter
La classe SqlParameter est principalement utilisée pour ajouter des paramètres aux instructions SQL. Ses principales fonctions sont les suivantes :
Utilisation de SqlParameter
Ci-dessous, nous utilisons un exemple pour montrer comment utiliser SqlParameter pour créer des requêtes paramétrées.
Supposons que nous ayons une table nommée « Employés » qui contient l'identifiant, le nom et les informations sur le salaire des employés. Nous devons interroger les informations sur les employés dont le salaire est supérieur à un montant spécifié. Voici un exemple de code utilisant SqlParameter :
string queryString = "SELECT EmployeeID, FirstName, LastName FROM Employees WHERE Salary > @salary"; using (SqlConnection connection = new SqlConnection(connectionString)) { SqlCommand command = new SqlCommand(queryString, connection); command.Parameters.Add("@salary", SqlDbType.Decimal).Value = 5000; // 设置参数名称、类型和值 connection.Open(); SqlDataReader reader = command.ExecuteReader(); while (reader.Read()) { int employeeId = (int)reader["EmployeeID"]; string firstName = reader["FirstName"].ToString(); string lastName = reader["LastName"].ToString(); Console.WriteLine($"Employee ID: {employeeId}, Name: {firstName} {lastName}"); } reader.Close(); }
Dans l'exemple ci-dessus, nous créons d'abord une chaîne de requête qui inclut le nom du paramètre "@salary". Ensuite, nous avons créé une connexion à la base de données et un objet de commande de requête à l'aide de SqlConnection et SqlCommand.
Ensuite, nous ajoutons un paramètre à la commande query en appelant la méthode command.Parameters.Add
. Ici, nous spécifions le nom, le type et la valeur du paramètre. Dans cet exemple, nous utilisons SqlDbType.Decimal
comme type de paramètre et définissons la valeur du paramètre sur 5 000. command.Parameters.Add
方法,我们向查询命令中添加了一个参数。在这里,我们指定了参数的名称、类型和值。在这个例子中,我们使用SqlDbType.Decimal
作为参数类型,并将参数值设置为5000。
最后,我们打开数据库连接,并执行查询命令。通过调用command.ExecuteReader
command.ExecuteReader
et utilisez SqlDataReader pour lire les résultats ligne par ligne. Dans la boucle, nous obtenons l'ID et le nom de chaque employé via le nom de la colonne et les affichons sur la console.
Résumé
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!