實現SqlParameter方式

悟靜 2012-02-16

展開全文

實現SqlParameter方式

因為通過SQL語句的方式，有時候存在腳本注入的危險，所以在大多數情況下不建議用拼接SQL語句字符串方式，希望通過SqlParameter實現來實現對數據的操作，針對SqlParameter的方式我們同樣可以將其封裝成一個可以復用的數據訪問類，只是比SQL語句的方式多了一個SqlParameter的參數。

具體代碼如下：

//<summary>  
//執(zhí)行SQL語句，返回影響的記錄數  
//</summary>  
//<returns>影響的記錄數</returns>  
public static int ExecuteSql(string StrSql, params SqlParameter[] cmdParms)  
{  
    using (SqlConnection connection = new SqlConnection(conString))  
    {  
        using (SqlCommand cmd = new SqlCommand())  
        {              
            PrepareCommand(cmd, connection, null, StrSql, cmdParms);  
            int rows = cmd.ExecuteNonQuery();  
            cmd.Parameters.Clear();  
            return rows;              
        }  
    }  
}  
//<summary>  
//執(zhí)行查詢語句，返回DataSet  
//</summary>  
//<returns>DataSet</returns>  
public static DataSet Query(string StrSql, params SqlParameter[] cmdParms)  
{  
    using (SqlConnection connection = new SqlConnection(conString))  
    {  
        SqlCommand cmd = new SqlCommand();  
        PrepareCommand(cmd, connection, null, StrSql, cmdParms);  
        using (SqlDataAdapter da = new SqlDataAdapter(cmd))  
        {  
            DataSet ds = new DataSet();              
            da.Fill(ds, "ds");  
            cmd.Parameters.Clear();              
            return ds;  
        }  
    }  
}