c#sql 参数的存储过程

在C#中，通过SQL参数调用存储过程是一种常见且推荐的做法，它可以提高代码的安全性和可维护性，以下是关于如何在C#中使用SQL参数调用存储过程的详细步骤和示例：

一、创建存储过程

需要在数据库中创建一个存储过程，假设我们使用SQL Server，下面是一个简单的存储过程示例，该存储过程接受两个参数并返回一个结果集：

CREATE PROCEDURE GetEmployeeById
    @EmployeeID INT,
    @LastName NVARCHAR(50) OUTPUT
AS
BEGIN
    SELECT @LastName = LastName
    FROM Employees
    WHERE EmployeeID = @EmployeeID
END

二、在C#中调用存储过程

1、引入必要的命名空间：

确保在你的C#项目中引入了System.Data.SqlClient命名空间，以便能够使用ADO.NET类。

2、建立数据库连接：

使用SqlConnection类建立与数据库的连接，你需要提供连接字符串，该字符串包含服务器名称、数据库名称、用户名和密码等信息。

3、创建SqlCommand对象：

使用SqlCommand类来表示要对数据库执行的命令，将命令类型设置为StoredProcedure，并指定存储过程的名称。

4、添加参数：

使用Parameters属性向SqlCommand对象中添加参数，对于输入参数，设置其Value属性为相应的值，对于输出参数，除了设置值之外，还需要将其Direction属性设置为Output。

5、执行命令：

调用SqlCommand对象的ExecuteReader方法来执行存储过程，并获取结果集，或者，如果存储过程不返回结果集，可以调用ExecuteNonQuery方法。

6、处理结果：

如果存储过程返回结果集，可以使用SqlDataReader对象来遍历结果集并读取数据，如果存储过程有输出参数，可以在执行完命令后从输出参数中获取值。

7、关闭连接：

记得关闭数据库连接以释放资源。

以下是一个具体的C#代码示例，展示了如何调用上述的GetEmployeeById存储过程：

using System;
using System.Data;
using System.Data.SqlClient;
class Program
{
    static void Main()
    {
        // 连接字符串（根据实际情况修改）
        string connectionString = "Server=myServerAddress;Database=myDataBase;User Id=myUsername;Password=myPassword;";
        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            // 创建SqlCommand对象并设置其属性
            SqlCommand command = new SqlCommand("GetEmployeeById", connection);
            command.CommandType = CommandType.StoredProcedure;
            // 添加输入参数
            SqlParameter employeeIdParam = new SqlParameter("@EmployeeID", SqlDbType.Int);
            employeeIdParam.Value = 1; // 假设我们要查询的员工ID为1
            command.Parameters.Add(employeeIdParam);
            // 添加输出参数
            SqlParameter lastNameParam = new SqlParameter("@LastName", SqlDbType.NVarChar, 50);
            lastNameParam.Direction = ParameterDirection.Output;
            command.Parameters.Add(lastNameParam);
            try
            {
                // 打开连接并执行命令
                connection.Open();
                command.ExecuteNonQuery();
                // 读取输出参数的值
                string lastName = (string)lastNameParam.Value;
                Console.WriteLine("Employee Last Name: " + lastName);
            }
            catch (Exception ex)
            {
                Console.WriteLine("An error occurred: " + ex.Message);
            }
        }
    }
}

三、注意事项

确保在添加参数时，参数的名称和类型与存储过程中定义的完全一致。

如果存储过程有多个输出参数，需要为每个输出参数都创建一个SqlParameter对象，并设置其Direction属性为Output。

在执行完命令后，如果存储过程有输出参数，需要从相应的SqlParameter对象的Value属性中获取值。

始终记得在完成数据库操作后关闭连接，以避免资源泄漏。

通过使用SQL参数调用存储过程，可以提高代码的安全性和性能，并减少SQL注入攻击的风险，它还使得代码更加模块化和易于维护。