C#数据库连接字符串及SQL语句处理
2015-02-16 23:26
453 查看
关于字符串
方法一:连接字符串直接摆上来
方法二:把连接字符串写入App.config文件
关于SQL语句中的变量
在程序中SQL是以字符串的形式存在的,因此添加变量时自然可以使用字符串拼接的方式,如:
很明显这种方法不安全,如果上述的“某个字符串”中不是一个值而是若干个值和运算符拼接合成的一部分SQL语句呢?这样一来数据库执行这条语句返回的可能就不仅仅有应返回的结果,还可能有不应该返回的东西出现。于是可以使用传参数的方式:
方法一:连接字符串直接摆上来
using (SqlConnection conn = new SqlConnection("Data Source=.\\SQLEXPRESS; Database=**;Integrated Security=False;User ID=**;Password=**")) { conn.Open(); using (SqlCommand cmd = conn.CreateCommand()) { cmd.CommandText = "*************"; XXXXXXXXXXXX } }
方法二:把连接字符串写入App.config文件
<configuration> <connectionStrings> <add name="dbCS" connectionString="Data Source=.\SQLEXPRESS; Database=**;Integrated Security=False;User ID=**;Password=**"/> </connectionStrings>
string connStr = ConfigurationManager.ConnectionStrings["dbCS"].ConnectionString; using (SqlConnection conn = new SqlConnection(connStr)) <pre name="code" class="csharp"> { conn.Open(); using (SqlCommand cmd = conn.CreateCommand()) { cmd.CommandText = "*************"; XXXXXXXXXXXX } }
关于SQL语句中的变量
在程序中SQL是以字符串的形式存在的,因此添加变量时自然可以使用字符串拼接的方式,如:
cmd.CommandText = "select * from XXX where xxx="+某个字符串;
很明显这种方法不安全,如果上述的“某个字符串”中不是一个值而是若干个值和运算符拼接合成的一部分SQL语句呢?这样一来数据库执行这条语句返回的可能就不仅仅有应返回的结果,还可能有不应该返回的东西出现。于是可以使用传参数的方式:
<span style="font-size:14px;">cmd.CommandText = "select * from XXX where xxx=@Para";</span> cmd.Parameters.Add(new SqlParameter("@Para", 某个字符串)); //上面一条语句等价于 cmd.Parameters.AddWithValue("@Para", 某个字符串);
相关文章推荐
- sql语句字符串处理大全
- SQL语句字符串处理大全(转)
- 字段中 字符串有条件连接 并分组显示,排序 用sql语句
- sql语句字符串处理大全
- sqlserver存储过程中sql语句连接及datetime字段的处理
- Use parameters instead of string concatenation for forming SQL queries,用参数方式来生成sql语句,而不是用连接字符串的方式
- Oracle中SQL语句连接字符串的符号
- mysqli学习笔记 mysqli连接,multi_query多语句查询,SQL预处理stmt,事务处理
- Oracle中SQL语句连接字符串的符号使用介绍
- sql语句字符串处理大全
- sql语句字符串处理大全
- 在存储过程中连接SQL语句字符串
- Oracle中SQL语句连接字符串的符号使用介绍
- sql语句字符串处理大全
- SQL语句字符串处理大全
- 用字符串连接SQL语句并用EXEC执行时,出现名称 '‘不是有效的标识符
- 使用字符串连接的方式来执行Sql语句
- 用字符串连接SQL语句并用EXEC执行时,出现名称 '‘不是有效的标识符
- Oracle中SQL语句学习一(distinct,null,连接字符串||)
- SQL语句字符串处理大全