首页 >数据库 >mysql教程 >如何在 C# 中使用参数化查询从 SQL Server 数据库检索数据?

如何在 C# 中使用参数化查询从 SQL Server 数据库检索数据?

Patricia Arquette
Patricia Arquette原创
2024-12-29 16:12:11897浏览

How to Retrieve Data from a SQL Server Database in C# Using Parameterized Queries?

在 C# 中从 SQL Server 数据库检索数据

要在 C# 中从 SQL Server 数据库检索数据,您可以使用 SqlConnection, SqlCommand 和 SqlDataReader 对象。实现此目的的方法如下:

  1. 建立与数据库的连接:

    SqlConnection con = new SqlConnection("Data Source=.
    Initial Catalog=domain;
    Integrated Security=True");
    con.Open();
  2. 创建一个Sql命令对象:

    SqlCommand cmd = new SqlCommand("Select * from tablename", con);
  3. 执行 SqlCommand:

    using (SqlDataReader reader = cmd.ExecuteReader())
    {
      // Iterate over the results and retrieve values
      while (reader.Read())
      {
     // Get values from the current row
      }
    }

但是,您的代码您的问题中提供的内容不起作用,因为您没有参数化 SQL 查询。这使得您的代码容易受到 SQL 注入攻击。要解决此问题,请使用参数化查询:

cmd.CommandText = "select * from tablename where firstname = @firstName";
cmd.Parameters.AddWithValue("@firstName", textBox1.Text);

以下是从数据库检索数据并填充用户定义对象的更完整方法的示例:

public Person GetPerson(string firstName)
{
  var con = ConfigurationManager.ConnectionStrings["Yourconnection"].ToString();

  using (SqlConnection myConnection = new SqlConnection(con))
  {
    string oString = "Select * from Employees where FirstName=@fName";
    SqlCommand oCmd = new SqlCommand(oString, myConnection);
    oCmd.Parameters.AddWithValue("@Fname", fName);
    myConnection.Open();

    using (SqlDataReader oReader = oCmd.ExecuteReader())
    {
      while (oReader.Read())
      {
        Person matchingPerson = new Person
        {
          firstName = oReader["FirstName"].ToString(),
          lastName = oReader["LastName"].ToString(),
        };

        return matchingPerson;
      }
    }
  }

  return null; // If no person found
}

要使用此方法方法,您可以使用 firstName 参数调用它,并使用返回的 Person 对象的属性填充文本框。

以上是如何在 C# 中使用参数化查询从 SQL Server 数据库检索数据?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn