sql語句帶參數

⑴ sql語句加參數

你需要了解sql語句的拼接和一般字元串的拼接的異同.
例如:在sql腳本語句中,字元串用單引號'',這些在C#語句中拼接"sql語句"字元串時需要注意.
你可以在vs.net中寫一個用字元串拼接的sql語句,最後把它賦值給一個字元串對象.然後用斷點調試區查看生成的sql語句的結果,一般sql語句較長,驗證的方式都是把這段sql語句到sql sever的腳本文件(.sql)中去執行一下,就知道是否正確了.當然也有先在sql server 中調試好拼接字元串後再到程序代碼中去修改的.具體方式不定.
(以上是介紹的拼接sql語句方法,不過這種方式的安全性不高,常見的sql注入式攻擊就是利用的拼接sql語句的缺陷.)
你還可以考慮使用帶參數的存儲過程來實現,這個就需要了解存儲過程的一些知識了,具體的方法我就不介紹了,關於帶參數的存儲過程,網上有很多例子參考.

⑵ 那位能介紹一下SQL語句中的參數

看個簡單的例子

DECLARE @N INT ,@I INT
--定義參數

SET @N=1
SET @I=0
--給參數賦值

WHILE @N<=100
BEGIN
SET @I=@I+@N
SET @N=@N+1
END
PRINT @I
--執行SQL語句，從1加到100

⑶ sql語句查詢條件如何加入參數

declare @id int ;

select * from table where ID=@ID

⑷ ado.net裡面如何執行帶有參數的sql語句。。

建立Command 對象
SqlCommand cmd = new SqlCommand(sqlInsert, conn);//conn為連接對象
string sqlInsert = "insert into friendSiteInfo (SiteName,LinkUrl,LinkMan,Tel,Email)";

sqlInsert += "values(@SiteName,@LinkUrl,@LinkMan,@Tel,@Email)";

SqlParameter[] parameters = new SqlParameter[5];

parameters[0] = new SqlParameter("@SiteName", txtSiteName.Text);

parameters[1] = new SqlParameter("@LinkUrl", txtLinkurl.Text);

parameters[2] = new SqlParameter("@LinkMan",txtLinkman.Text);

parameters[3] = new SqlParameter("@Tel",txtTel.Text);

parameters[4] = new SqlParameter("@Email",txtEmail.Text);

foreach(SqlParameter par in parameters)
{

cmd.Parameters.Add(par);

}
cmd.ExecuteNonQuery();

這樣應該沒問題。