C#数据库连接字符串及SQL语句处理

关于字符串

方法一：连接字符串直接摆上来

using (SqlConnection conn = new SqlConnection("Data Source=.\\SQLEXPRESS; Database=**;Integrated Security=False;User ID=**;Password=**"))
{
conn.Open();

using (SqlCommand cmd = conn.CreateCommand())
{
cmd.CommandText = "*************";

XXXXXXXXXXXX
}
}

方法二：把连接字符串写入App.config文件

<configuration>
<connectionStrings>
<add name="dbCS" connectionString="Data Source=.\SQLEXPRESS; Database=**;Integrated Security=False;User ID=**;Password=**"/>
</connectionStrings>

string connStr = ConfigurationManager.ConnectionStrings["dbCS"].ConnectionString;
using (SqlConnection conn = new SqlConnection(connStr))
<pre name="code" class="csharp"> {
conn.Open();

using (SqlCommand cmd = conn.CreateCommand())
{
cmd.CommandText = "*************";

XXXXXXXXXXXX
}
}

关于SQL语句中的变量

在程序中SQL是以字符串的形式存在的，因此添加变量时自然可以使用字符串拼接的方式，如：

cmd.CommandText = "select * from XXX where xxx="+某个字符串;

很明显这种方法不安全，如果上述的“某个字符串”中不是一个值而是若干个值和运算符拼接合成的一部分SQL语句呢？这样一来数据库执行这条语句返回的可能就不仅仅有应返回的结果，还可能有不应该返回的东西出现。于是可以使用传参数的方式：

<span style="font-size:14px;">cmd.CommandText = "select * from  XXX where xxx=@Para";</span>
cmd.Parameters.Add(new SqlParameter("@Para", 某个字符串));
//上面一条语句等价于 cmd.Parameters.AddWithValue("@Para", 某个字符串);