如果需要防止SQL注入，可以用SQL參數(shù)變量來傳遞記錄值，這可以有效的防止SQL注入，下面就將為您介紹此方法，供您參考，希望對您學(xué)習(xí)SQL變量的使用能夠有所啟迪。

public int ExecuteNonQuery(string sql,SqlParameter[]paras)
        {
            int res;
            using (cmd = new SqlCommand(sql, Getconn()))
            {
                //cmd.Parameters.Add(new SqlParameter("@textcaname","最真的夢"));
               // cmd.Parameters.AddRange(new SqlParameter[]{
               // new SqlParameter("@textcaname","南寧新聞")
               // });
                cmd.Parameters.AddRange(paras);
                res = cmd.ExecuteNonQuery();
            }

            return res;
        }

代碼說明:此方法用來執(zhí)行傳入的帶有SQL數(shù)組參數(shù)變量的SQL語句

public bool insert(string textcaname)
        {
            bool flag = false;
            string sql = "insert into category (caname) values(@textcaname)";
            SqlParameter[] paras = new SqlParameter[]
            {
            new SqlParameter("@textcaname",textcaname)
            };
            int res = sqlhelper.ExecuteNonQuery(sql, paras);

            if (res > 0)
            {
                flag = true;
            }
            return flag;
        }#p#

代碼說明:

string sql = "insert into category (caname) values(@textcaname)";
此是帶有SQL參數(shù)變量的SQL語句
SqlParameter[] paras = new SqlParameter[]
            {
            new SqlParameter("@textcaname",textcaname)
            };
把從文本框輸入的記錄值賦給數(shù)組參數(shù)中的SQL變量

運行效果:

【編輯推薦】

SQL中的指示變量及數(shù)組變量

SQL中系統(tǒng)變量的應(yīng)用實例

詳解SQL Server分布式查詢

sql中while語句多層循環(huán)實例

SQL函數(shù)取得系統(tǒng)日期