.NET连接数据库以及基本的增删改查操作教程(2)

但是,仔细看会发现这段代码是使用了 sql 语句拼接的。这种方式写起来比较乱(又是双引号又是单引号的),还有可能被 sql 注入。这个时候就会想,能不能有占位符呢?答案是肯定的。

myconn.Open(); SqlCommand cmd = myconn.CreateCommand(); cmd.CommandText = "insert into custom values(@uid,@uname,@udepart,@uage,@uename,@upassword)"; cmd.Parameters.AddWithValue("@uid", uid.Text); cmd.Parameters.AddWithValue("@uname", uname.Text); cmd.Parameters.AddWithValue("@udepart", udepart.Text); cmd.Parameters.AddWithValue("@uage", uage.Text); cmd.Parameters.AddWithValue("@uename", uename.Text); cmd.Parameters.AddWithValue("@upassword", upassword.Text); if (cmd.ExecuteNonQuery() > 0) { this.Response.Write("<script language='javascript'>alert('增加成功!')</script>"); } else { this.Response.Write("<script language='javascript'>alert('添加失败!')</script>"); } myconn.Close(); ShowAll();

这段代码与之前代码的不同之处在于:

1.使用 Connection 对象的 CreateCommand 方法创建了一个SqlCommand 对象。

SqlCommand cmd = myconn.CreateCommand();

2.使用了Command 对象的 CommandText 属性写 sql 语句文本,当然也可以是存储过程的名称。

cmd.CommandText = "insert into custom values(@uid,@uname,@udepart,@uage,@uename,@upassword)";

3.使用了Command 对象的 Parameters 属性 输入参数。

cmd.Parameters.AddWithValue("@uid", uid.Text); cmd.Parameters.AddWithValue("@uname", uname.Text); cmd.Parameters.AddWithValue("@udepart", udepart.Text); cmd.Parameters.AddWithValue("@uage", uage.Text); cmd.Parameters.AddWithValue("@uename", uename.Text); cmd.Parameters.AddWithValue("@upassword", upassword.Text);

嗯这样一改看起来就很舒服了^_^

修改、删除和增加的套路是差不多的。这里就不贴代码了。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

您可能感兴趣的文章:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wdspsf.html