Hinzufügen von Parametern Befehlen

Beim Arbeiten mit Daten, wünschst du häufig ergebnisorientiertes auf einigen Kriterien filtern. Gewöhnlich wird dieses getan, indem man Eingang von einem Benutzer annimmt und diesen Eingang verwendet, um eine SQL Frage zu bilden.

Wie du weißt, ist die SQL Frage, die einem SqlCommand Gegenstand zugewiesen wird, einfach eine Zeichenkette. So wenn du eine Frage filtern möchtest, könntest du die Zeichenkette dynamisch errichten, aber du würdest nicht zu wünschen. Ist hier ein schlechtes Beispiel der Entstörung einer Frage.

Eine Frage nicht überhaupt errichten auf diese Weise! Die Eingang Variable, inputCity, wird gewöhnlich von einer area per informazionisteuerung entweder auf einer Windows Form oder einer Webseite zurückgeholt. Alles, das in diese area per informazionisteuerung gesetzt wird, wird in inputCity gesetzt und hinzugefügt deiner SQL Zeichenkette. Diese Situation lädt einen Hacker ein, diese Zeichenkette mit böswilligem etwas zu ersetzen. Im im schlimmsten Fall könntest du gibst volle Steuerung deines Computers weg.

Parameterisierte Fragen zu verwenden ist ein dreistufiger Prozeß:

1. Die SqlCommand Befehlsfolge mit Parametern konstruieren.

2. Einen SqlParameter Gegenstand erklären und Werte zuweisen, wie passend.

3. Den SqlParameter Gegenstand der des SqlCommand Parametereigenschaft Gegenstandes zuweisen.

er tritt zuerst, wenn er Parameter in den SQL Fragen verwendet, soll eine Befehlsfolge errichten, die Parameter placeholders enthält. Diese placeholders werden mit Aktualparameterwerten ausgefüllt, wenn das SqlCommand durchführt. Korrekte Syntax eines Parameters ist, ein „@“ Symbolpräfix auf dem Parameternamen wie gezeigt zu verwenden unten: