使用SqlParameter在C#中進行參數化查詢

C#中SqlParameter的作用與用法

在C#開發中，與資料庫的互動是常見的任務之一。為了確保資料的安全性和有效性，我們經常需要使用參數化查詢來防止SQL注入攻擊。 SqlParameter是C#中用於建立參數化查詢的類，它提供了一種安全且方便的方式來處理資料庫查詢中的參數。

SqlParameter的作用
SqlParameter類別主要用於將參數加入SQL語句中。它的主要作用有以下幾個面向：

1. 防止SQL注入攻擊：透過使用SqlParameter，我們可以預先將參數值轉義，並確保在執行資料庫查詢時，參數值不會被解釋為SQL語句的一部分。
2. 提高效能：在資料庫查詢中，查詢計劃通常會對查詢進行快取以提高效能。當使用SqlParameter時，相同的查詢語句只需要被編譯一次，然後可以重複使用。
3. 支援各種資料類型和大小：SqlParameter支援各種常見的資料類型，如字串、整數、日期等，並且可以根據需要設定參數的大小、精確度和小數位數等。

SqlParameter的用法
下面我們透過一個範例來示範如何使用SqlParameter來建立參數化查詢。

假設我們有一個名為"Employees"的表，包含了員工的ID、姓名和薪資資料。我們需要查詢工資大於指定金額的員工資料。以下是使用SqlParameter的程式碼範例：

string queryString = "SELECT EmployeeID, FirstName, LastName FROM Employees WHERE Salary > @salary";
using (SqlConnection connection = new SqlConnection(connectionString))
{
    SqlCommand command = new SqlCommand(queryString, connection);
    command.Parameters.Add("@salary", SqlDbType.Decimal).Value = 5000; // 设置参数名称、类型和值

    connection.Open();
    SqlDataReader reader = command.ExecuteReader();

    while (reader.Read())
    {
        int employeeId = (int)reader["EmployeeID"];
        string firstName = reader["FirstName"].ToString();
        string lastName = reader["LastName"].ToString();

        Console.WriteLine($"Employee ID: {employeeId}, Name: {firstName} {lastName}");
    }

    reader.Close();
}

在上面的範例中，我們首先建立了一個查詢字串，其中包含了參數名稱"@salary"。然後，我們使用SqlConnection和SqlCommand建立了一個資料庫連線和查詢命令物件。

接下來，透過呼叫command.Parameters.Add方法，我們在查詢命令中新增了一個參數。在這裡，我們指定了參數的名稱、類型和值。在這個範例中，我們使用SqlDbType.Decimal作為參數類型，並將參數值設為5000。

最後，我們打開資料庫連接，並執行查詢命令。透過呼叫command.ExecuteReader來取得查詢結果，並使用SqlDataReader逐行讀取結果。在循環中，我們透過列名來取得每位員工的ID、姓名，並輸出到控制台。

總結
透過使用SqlParameter，我們可以有效地建立參數化查詢，從而提高資料庫查詢的安全性和效能。透過設定參數的名稱、類型和值，我們可以輕鬆地將參數加入SQL語句中，並防止潛在的SQL注入攻擊。希望本文對您理解C#中SqlParameter的作用與用法有所幫助。

以上是使用SqlParameter在C#中進行參數化查詢的詳細內容。更多資訊請關注PHP中文網其他相關文章！