前两天偶然看到一个SQL查询程序,
利用SqlCommand的Parameters.Add功能,高效而且安全,今天正好用上这个新写法.
cmdTmp1.CommandText="INSERT INTO Medi_NSFBill (Message,TypeCode) VALUES (@p1,@p2)";
cmdTmp1.Parameters.Clear();
cmdTmp1.Parameters.Add(new SqlParameter("@p1",SqlDbType.VarChar,512));
cmdTmp1.Parameters["@p1"].Value=message;
cmdTmp1.Parameters.Add(new SqlParameter("@p2",SqlDbType.Int));
cmdTmp1.Parameters["@p2"].Value=2001;
cmdTmp1.ExecuteNonQuery();
cmdTmp1.Parameters.Clear();
这个写法的好处是:
1 利用SqlCommand的参数自动检查特性过滤非法字符,
2 避免STRING串相加的低效率工作
坏处是:
代码冗长
利用SqlCommand的Parameters.Add功能,高效而且安全,今天正好用上这个新写法.
cmdTmp1.CommandText="INSERT INTO Medi_NSFBill (Message,TypeCode) VALUES (@p1,@p2)";
cmdTmp1.Parameters.Clear();
cmdTmp1.Parameters.Add(new SqlParameter("@p1",SqlDbType.VarChar,512));
cmdTmp1.Parameters["@p1"].Value=message;
cmdTmp1.Parameters.Add(new SqlParameter("@p2",SqlDbType.Int));
cmdTmp1.Parameters["@p2"].Value=2001;
cmdTmp1.ExecuteNonQuery();
cmdTmp1.Parameters.Clear();
这个写法的好处是:
1 利用SqlCommand的参数自动检查特性过滤非法字符,
2 避免STRING串相加的低效率工作
坏处是:
代码冗长
浙公网安备 33010602011771号