怎样用C#的SqlParameter传递参数

在C#中，使用SqlCommand对象的SqlParameter对象可以方便地向SQL查询传递参数。以下是使用SqlParameter传递参数的步骤：

首先，确保已安装并引用了System.Data.SqlClient命名空间。

using System.Data;using System.Data.SqlClient;

创建一个SqlConnection对象，用于连接到数据库。

string connectionString = "your_connection_string";SqlConnection connection = new SqlConnection(connectionString);

打开数据库连接。

connection.Open();

创建一个SqlCommand对象，并指定要执行的SQL查询。

string sqlQuery = "SELECT * FROM your_table WHERE column1 = @parameter1 AND column2 = @parameter2";SqlCommand command = new SqlCommand(sqlQuery, connection);

在这个例子中，@parameter1 和 @parameter2 是我们要传递的参数。

创建SqlParameter对象，并将它们添加到SqlCommand对象的Parameters集合中。

SqlParameter parameter1 = new SqlParameter("@parameter1", SqlDbType.VarChar) { Value = "value1" };SqlParameter parameter2 = new SqlParameter("@parameter2", SqlDbType.Int) { Value = 123 };command.Parameters.Add(parameter1);command.Parameters.Add(parameter2);

注意，参数名称前的符号（@）应与SQL查询中的参数名称相匹配。

执行SQL查询，并处理结果。

using (SqlDataReader reader = command.ExecuteReader()){    while (reader.Read())    {        // Process the result set    }}

最后，关闭数据库连接。

connection.Close();

现在，你已经学会了如何使用C#的SqlParameter对象向SQL查询传递参数。这种方法可以有效地防止SQL注入攻击，并提高代码的可读性和可维护性。