假如我写了一个SqlHelper类，里边有一个ExexuteNonQuery方法要往里传一个sql语句的字符串如
public static DataSet ExecuteDataset(string sql)
在传入sql字符串时要防止注入式漏洞，要用到Parameter方法比如
DataSet result=SqlHelper.ExecuteDataset("select * from Table_1 where Name=@name")
不用SqlHelper的话，
cmd.CommandText="select * from Table_1 where Name=@name"
cmd.Parameters.Add(new SqlParameter("@name",XXX))就行了
要用SqlHelper该怎么把参数XXX加进去？

1. public static object ExecuteScalar(string sql, params SqlParameter[] cmdParams)//查询返回第一行第一列 object
   
2.     {
   
3. 
   
4.         SqlCommand cmd = new SqlCommand(sql, conn);
   
5.         foreach (SqlParameter parm in cmdParams)
   
6.         {
   
7.             cmd.Parameters.Add(parm); //这里添加参数
   
8.         }
   
9.         try
   
10.         {
    
11.             conn.Open();
    
12.             object o = cmd.ExecuteScalar();
    
13.             return o;
    
14.         }
    
15.         catch
    
16.         {
    
17.             return null;
    
18.         }
    
19.         finally
    
20.         {
    
21.             cmd.Dispose();
    
22.             conn.Close();
    
23.             conn.Dispose();
    
24.         }
    
25.     }

复制代码

Sayme 发表于 2013-11-20 22:55
楼主你这个是基础都没看的

现在都不用DataSet了  都改用 datatable了

答非所问

1.要实现变长参数化需要使用params
2.用SqlParameter[] parameters数组接受参数
3.用comm.Parameters.AddRange(parameters);动态添加参数.
public static DataTable ExecuteDataTable(string sql, params SqlParameter[] parameters)
        {
            using (SqlConnection conn=new SqlConnection(connstr))
            {
                conn.Open();
                using (SqlCommand comm=conn.CreateCommand())
                {
                    comm.CommandText = sql;
                    comm.Parameters.AddRange(parameters);
                    SqlDataAdapter adapter = new SqlDataAdapter(comm);
                    DataSet set = new DataSet();
                    adapter.Fill(set);
                    return set.Tables[0];
                }
            }
        }

楼主你这个是基础都没看的

现在都不用DataSet了  都改用 datatable了

u010209195 发表于 2013-11-20 21:33
params是不确定长度，需要放到参数列表的最后一个，若传入的有参数，则可以添加参数，没有参数的话就不用添 ...

方法的返回值DataTable也可以是DataSet，只要把最后的返回值那里修改下就行了，杨老师2012年的公开课里面讲过这个内容 SqlHelper

1.         public static DataTable ExecuteDataTable(string sql,params SqlParameter[] parameter)
   
2.         {
   
3.             //建立程序和数据库之间的链接
   
4.             using (SqlConnection conn = new SqlConnection(str))
   
5.             {
   
6.                 //打开数据库
   
7.                 conn.Open();
   
8.                 using (SqlCommand cmd = conn.CreateCommand())
   
9.                 {
   
10.                     //设置要对数据库执行的Sql语句
    
11.                     cmd.CommandText = sql;
    
12.                     cmd.Parameters.AddRange(parameter);
    
13.                     //管理Command对象，主要用于查询或更新数据
    
14.                     SqlDataAdapter dataadapter = new SqlDataAdapter(cmd);
    
15.                     //数据集对象，从数据库中取出数据，保存到内存中，即可断开链接
    
16.                     DataSet dataset = new DataSet();
    
17.                     //填充数据集
    
18.                     dataadapter.Fill(dataset);
    
19.                     return dataset.Tables[0];
    
20.                 }
    
21.             }
    
22.         }

复制代码

params是不确定长度，需要放到参数列表的最后一个，若传入的有参数，则可以添加参数，没有参数的话就不用添加

public static DataSet ExecuteDataset(string sql, params SqlParameter[] args)
如果传过来参数了,cmd.Parameters.AddRange(args);就可以了，
没有就不加！