问题标签 [sqlparameter]

我正在尝试SQL编写代码，VB但我遇到了问题，我有一个简单的数据库，其中包含表 adminUserName和Password.

我希望能够从文本框中读取数据，然后将其输入到 SQL 字符串中……SQL 字符串有效（我已经测试过），我可以用一个简单的SELECT语句将其输出，但我似乎做不到让 SQL 读取我的参数。

帮助？

我正在尝试存储字符串或nvarchar(500)SQL。当我将完整文件路径作为字符串参数传递时，出现无法识别的转义序列错误。

由于路径不是此存储过程期望的常用参数，我如何打开这种可能性，以便它可以接受字符串，例如c:\foldername\subfoldername. 我是想@在字符串的乞求时添加还是使用 StringBuilder？

谢谢

当我将 SQL 参数添加p到集合中时，我会收到InvalidCastException来自帖子标题的消息。

parentId是一个可以为空的整数和数据库中的一个可以为空的整数。

为什么会出现此异常，我该如何解决？

我不使用存储过程，并且我已经阅读了类似的线程，但它们对我没有帮助。

我想知道如何（在下面的代码中）确保 dataID 是下面传递的参数中的文本（或 varchar 或 int）？

我习惯这样编码：

在顶部的代码中，我如何将两个或更多参数传递给 ExecuteQuery？

可能重复：
Parameters.Add 和 Parameters.AddWithValue 之间的差异

从 MSDN 代码来看，这两者有什么区别：

做第一个以确保我正确地转换参数会更好吗？我正在努力使我的代码更安全。

可能重复：
在 .NET 的动态 SQL 中清理表/列名？（防止SQL注入攻击）

我有一个这样的查询：

SQL 参数化适用于变量，但如何让它适用于表名？myID 是我传入并更改的 int（可以转换为字符串），但是如何防止此处的 sql 注入？

我在 C# 类方法中使用了许多可选输入参数。由于在不使用参数时可选语法会创建一个值“0”，因此我在该方法中调用的 SQL 插入命令最终会以这种方式插入。但是，当不使用参数时，我需要插入 NULL 值而不是 0 的命令。在不使用大量“if”语句的情况下完成此任务的最佳方法是什么？

下面是我所指的代码。是否有某种语法/命令允许我在 SqlParameter 声明中指定 NULL 值？

有什么区别：

和：

上面的区别在于有无 @ 符号。它有什么特别的吗？

我有一个非常复杂的查询并且正在修复我喜欢的术语（我有一个单独的数据库表并将它们加载到我的搜索查询中），但是当我参数化它时，我的查询会给出不同的结果。

所以旧查询有一个类似的部分：

我用这样的东西（带参数）替换了它：

我的参数是这样添加的：

这两个查询是否相等？我错过了什么吗？

我有一个类成员类型为 Int32，但要求是该成员的 .ToString() 方法需要返回 Int32 的特殊格式版本。所以我创建了一个带有隐式运算符的结构，它保留了简单的赋值语义，我可以覆盖 .ToString()...

在典型用法中，它按预期运行。但是，当我分配给 SqlParameter.Value 成员时，我最终得到一个“...使用 IConvertible ...”错误...

在调试时，我的结构上的 .ToString() 方法似乎在 SqlParameter.Value 分配上被调用。所以问题 #1 是为什么这样做而不是分配基础 Int32 值？

相关问题 #2 是为什么初始分配不会产生错误，因为错误是在 SqlCommand.ExecuteReader() 方法中产生的？

随意批评我编写的代码的任何方面，但我真的希望能得到很好的答案。

（编辑添加）我将重新表述我的问题......

我需要创建一个完全模仿 Int32 的值数据类型（使用 .ToString() excpetion），这样当它被装箱时，Int32 值被装箱而不是结构。

这可能吗？