在C#/.NET 3.5中构建动态SQL查询的最佳方法是使用参数化查询。参数化查询可以有效地防止SQL注入攻击,提高查询性能,并且使代码更易于维护。
以下是一个使用参数化查询的示例:
using System;
using System.Data.SqlClient;
public class DynamicSqlExample
{
public static void Main()
{
string connectionString = "Data Source=myServerAddress;Initial Catalog=myDataBase;Integrated Security=True";
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
string sql = "SELECT * FROM Employees WHERE Age > @Age";
using (SqlCommand command = new SqlCommand(sql, connection))
{
command.Parameters.AddWithValue("@Age", 30);
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
Console.WriteLine(reader["Name"]);
}
}
}
}
}
}
在这个示例中,我们使用了参数化查询来查询所有年龄大于30的员工。我们使用@Age
作为参数占位符,并使用command.Parameters.AddWithValue
方法将参数值设置为30。这样,我们就可以避免SQL注入攻击,并且提高查询性能。
总之,在C#/.NET 3.5中构建动态SQL查询的最佳方法是使用参数化查询。
领取专属 10元无门槛券
手把手带您无忧上云