Web编程 订阅所有【Web编程】的日志

多条件查询 VS 参数化查询

编辑:dnawo 日期:2009-09-18

字体大小:
一直以来对参数化查询有个误解:SqlCommand对象中,给Parameters添加参数的个数必须和CommandText中使用的变量个数相等。今天测试发现:

·CommandText中使用的变量在Parameters中必须有对应的参数;
·Parameters中参数的个数可以多于CommandText中使用的变量个数;

道理很简单,你在程序中使用的变量都必须先声明,但声明的变量没有要求说一定都得在程序中使用。

复制内容到剪贴板程序代码 程序代码
/// <summary>
/// 产品搜索
/// </summary>
/// <param name="productName">产品名称</param>
/// <param name="categoryID">产品分类ID,-1时忽略</param>
/// <returns></returns>
private DataTable List(string productName, int categoryID)
{
    DataTable table = new DataTable();

    try
    {
        using (SqlConnection conn = new SqlConnection("server=127.0.0.1;database=Northwind;user id=sa;password=sa"))
        {
            using (SqlCommand cmd = new SqlCommand())
            {
                cmd.Connection = conn;

                if (categoryID == -1)
                    cmd.CommandText = "select * from Products where ProductName=@ProductName";
                else
                    cmd.CommandText = "select * from Products where ProductName=@ProductName and CategoryID=@CategoryID";

                cmd.CommandType = CommandType.Text;
                cmd.CommandTimeout = 100;

                SqlParameter[] parms = new SqlParameter[]{
                    new SqlParameter("@ProductName", SqlDbType.NVarChar),
                    new SqlParameter("@CategoryID", SqlDbType.Int)
                };
                parms[0].Value = productName;
                parms[1].Value = categoryID;

                for (int i = 0; i < parms.Length; i++)
                    cmd.Parameters.Add(parms[i]);

                using (SqlDataAdapter adapter = new SqlDataAdapter(cmd))
                {
                    adapter.Fill(table);
                }
            }
        }
    }
    catch { }

    return table;
}

上边例子中,当categoryID=-1时,声明的@CategoryID变量就是多余的,但并不影响程序运行,这样在多条件查询下使用参数化查询写代码就简单多了。

上一篇: 中断解析
下一篇: C#判断中英文混合字符串长度及截取函数
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
最新日志:
评论: 0 | 引用: 0 | 查看次数: 4959
发表评论
登录后再发表评论!