SqlCommand 参数化输入SQL语句

。。用参数化方法构建SQL语句，可以不用去拼接SQL语句，那样很容易出错

虽然我之前项目都是拼接的。。。汗中

 

其次还可以防止SQL语句注入，在我的项目里，update,delete,insert 和带条件的select 都使用了参数构建SQL语句，像"select * from table"之类的句子，就不用了。。。SqlCommand sqlcom =new SqlCommand( "update homework set tid=@tid,title=@title,content=@content where hid=@hid");// string sqlcomd = "update homework set tid='" + tid + "',title='" + title + "',content='" + content +"' where hid='" + hid + "'"; sqlcom.Parameters.Add(new SqlParameter("@tid", tid)); sqlcom.Parameters.Add(new SqlParameter("@hid", hid)); sqlcom.Parameters.Add(new SqlParameter("@title", title)); sqlcom.Parameters.Add(new SqlParameter("@file", file)); SqlConnection conn = getConnection(); command.Connection = conn; try { conn.Open(); command.ExecuteNonQuery(); } catch (Exception ex) { throw ex; } finally { conn.Close(); command.Dispose(); } }