我很擅长使用数据库.现在我可以写SELECT,UPDATE,DELETE,和INSERT命令.但我看过很多我们喜欢写的论坛:
SELECT empSalary from employee where salary = @salary
...代替:
SELECT empSalary from employee where salary = txtSalary.Text
为什么我们总是喜欢使用参数以及如何使用它们?
我想知道第一种方法的用途和好处.我甚至听说过SQL注入,但我并不完全理解它.我甚至不知道SQL注入是否与我的问题有关.
String dd_webCofig = ConfigurationManager.ConnectionStrings["server132"].ConnectionString;
SqlConnection ddlistconn = new SqlConnection(dd_webCofig);
ddlistconn.Open();
string ddlist = "select count(*) from jud_order where complex_name=@a and case_no=@b and sign=@c and jud_order_date=@d and user_code=@e";
SqlCommand ddlistCmd = new SqlCommand(ddlist, ddlistconn);
ddlistCmd.Parameters.AddWithValue("a", "a");
ddlistCmd.Parameters.AddWithValue("b", "a");
ddlistCmd.Parameters.AddWithValue("c", "a");
ddlistCmd.Parameters.AddWithValue("d", "a");
ddlistCmd.Parameters.AddWithValue("e", "a");
SqlDataReader myReader = ddlistCmd.ExecuteReader();
我有上面的查询返回行数,现在我的问题是如何读取查询的输出?我想要的是
if(count=0)
{
//Do
}
else if(counnt >0)
{
//Do something else
}