asp.ne!t SqlParameter如何根據條件有選擇的添加參數

2019-11-02 14:38:07

字體：大中小

來源：轉載

供稿：網友

有時候寫sql語句的時候會根據方法傳進來的參數來判斷sql語句中where條件的參數，下面有個示例，大家可以參考下

SqlParameter帶參數的增刪改查語句,可以防止注入.有時候寫sql語句的時候會根據方法傳進來的參數來判斷sql語句中where條件的參數.

一般方法

DAL層方法
代碼如下:
public UserInfo GetAll(UserInfo a)
{
string strSql = "select id,name,code,password from [tb].[dbo].[User] where 1=1";
strSql += " and [id][email protected]";
strSql += " and [name][email protected]";
strSql += " and [code][email protected]";
strSql += " and [password][email protected]";
SqlParameter[] parameters = {
new SqlParameter("@id", a.id)
new SqlParameter("@name", a.name)
new SqlParameter("@code", a.code),
new SqlParameter("@password", a.password)
};
SqlDataReader reader = SqlHelper.ExecuteReader(strSql, parameters);
UserInfo hc = new UserInfo();
while(reader.Read())
{
hc.id = reader.GetInt32(reader.GetOrdinal("id"));
hc.name = reader.GetString(reader.GetOrdinal("name"));
hc.code = reader.GetString(reader.GetOrdinal("code"));
hc.pass

好看的雷人圖片[www.62-6.com/1/leirentupian/]

word = reader.GetString(reader.GetOrdinal("password"));
}
reader.Close();
return hc;
}
現在想根據集合UserInfo內屬性來添加SqlParameter參數

方法如下

DAL層方法
代碼如下:
public UserInfo GetALL(UserInfo a)
{
string strSql = "select id,name,code,password from [tb].[dbo].[User] where 1=1";
if (a.id>0) strSql += " and [id][email protected]";
if (!string.IsNullOrEmpty(a.name)) strSql += " and [name][email protected]";
if (!string.IsNullOrEmpty(a.code)) strSql += " and [code][email protected]";
if (!string.IsNullOrEmpty(a.password)) strSql += " and [password][email protected]";
List<SqlParameter> parametertemp = new List<SqlParameter>();
if (a.id > 0) parametertemp.Add(new SqlParameter("@id", a.id));
if (!string.IsNullOrEmpty(a.name)) parametertemp.Add(new SqlParameter("@name", a.name));
if (!string.IsNullOrEmpty(a.code)) parametertemp.Add(new SqlParameter("@code", a.code));
if (!string.IsNullOrEmpty(a.password)) parametertemp.Add(new SqlParameter("@password", a.password));
SqlParameter[] parameters = parametertemp.ToArray();//ToArray()方法將 List<T> 的元素復制到新數組中。

SqlDataReader reader = SqlHelper.ExecuteReader(strSql, parameters);
UserInfo hc = new UserInfo();
while (reader.Read())
{
hc.id = reader.GetInt32(reader.GetOrdinal("id"));

上一篇：An、droid UI開發專題(二) 之繪圖基礎

下一篇：asp.net Xml綁定到數據控件、的具體實現