如果需要防止SQL注入，可以用SQL參數變量來傳遞記錄值，這可以有效的防止SQL注入，下面就將為您介紹此方法，供您參考，希望對您學習SQL變量的使用能夠有所啟迪。

public int ExecuteNonQuery(string sql,SqlParameter[]paras)
        {
            int res;
            using (cmd = new SqlCommand(sql, Getconn()))
            {
                //cmd.Parameters.Add(new SqlParameter("@textcaname","最真的夢"));
               // cmd.Parameters.AddRange(new SqlParameter[]{
               // new SqlParameter("@textcaname","南寧新聞")
               // });
                cmd.Parameters.AddRange(paras);
                res = cmd.ExecuteNonQuery();
            }

            return res;
        }

代碼說明:此方法用來執行傳入的帶有SQL數組參數變量的SQL語句

public bool insert(string textcaname)
        {
            bool flag = false;
            string sql = "insert into category (caname) values(@textcaname)";
            SqlParameter[] paras = new SqlParameter[]
            {
            new SqlParameter("@textcaname",textcaname)
            };
            int res = sqlhelper.ExecuteNonQuery(sql, paras);

            if (res > 0)
            {
                flag = true;
            }
            return flag;
        }#p#

代碼說明:

string sql = "insert into category (caname) values(@textcaname)";
此是帶有SQL參數變量的SQL語句
SqlParameter[] paras = new SqlParameter[]
            {
            new SqlParameter("@textcaname",textcaname)
            };
把從文本框輸入的記錄值賦給數組參數中的SQL變量

運行效果:

【編輯推薦】

SQL中的指示變量及數組變量

SQL中系統變量的應用實例

詳解SQL Server分布式查詢

sql中while語句多層循環實例

SQL函數取得系統日期