C# 中用 Sqlparameter 的两种用法

create table abc
(
id int identity(1,1) not null,
name nvarchar(100) ,
sex nvarchar(10)
)
insert into abc values(‘asf','男')
insert into abc values(‘ai','女')

create procedure selbyid
(
@id int,
@thename nvarchar(100) output
)
as
select @thename= name from abc where id=@id

public string connstring = configurationmanager.connectionstrings["connstr"].connectionstring;//存储链接字符串，方便资源复用。
public sqlconnection getcon( )
{
sqlconnection conn = new sqlconnection();
conn.connectionstring = connstring;
return conn;
}
private void btnsqlparauseing_click(object sender, eventargs e)
{
sqlconnection con = getcon();
con.open();
string sqlstr = "insert into abc values(@name,@sex)"; //免除sql注入攻击
sqlcommand cmd = new sqlcommand( );
cmd.connection = con;
cmd.commandtext = sqlstr;
sqlparameter para = new sqlparameter(); //声明参数
para= new sqlparameter("@name", sqldbtype.nvarchar,100);//生成一个名字为@id的参数,必须以@开头表示是添加的参数，并设置其类型长度，类型长度与数据库中对应字段相同，但是不能超出数据库字段大小的范围，否则报错。
para.value = txtname.text.tostring().trim(); //这个是输入参数，所以可以赋值。
cmd.parameters.add(para);            //参数增加到cmd中。
para = new sqlparameter("@sex", sqldbtype.nvarchar, 10);
para.value = txtsex.text.tostring().trim();
cmd.parameters.add(para);
int i =cmd.executenonquery(); //执行sql语句，并且返回影响的行数。
messagebox.show(i.tostring() + "命令完成行受影响插入成功", "提示",messageboxbuttons.ok,messageboxicon.information);
con.close();
}

private void btnshuchu_click(object sender, eventargs e)
{
sqlconnection con = getcon();
con.open();
sqlcommand cmd = new sqlcommand();
cmd.connection = con;
cmd.commandtext = "selbyid"; //存储过程的名称
cmd.commandtype = commandtype.storedprocedure; //说明是存储过程
sqlparameter para = new sqlparameter();     //声明sqlparameter参数
para = new sqlparameter("@id", sqldbtype.int); //这个参数是输入参数
para.value = int.parse(txtid.text.tostring().trim()); //因为是输入参数所以可以赋值
cmd.parameters.add(para); //加入cmd中
para=new sqlparameter("@thename",sqldbtype.nvarchar,100);//参数的大小可以小于数据库的参数规定值，但不能够大于数据库的参数大小。
cmd.parameters.add(para); //和下面一句不可掉乱，先增加再指明它是输出参数来的。
cmd.parameters["@thename"].direction = parameterdirection.output; //增加后，用output说明是输出参数。
int i=cmd.executenonquery();
string name = cmd.parameters["@thename"].value.tostring(); //经过执行，存储过程返回了输出参数。
messagebox.show("命令完成 " + name + "是所查记录", "提示", messageboxbuttons.ok, messageboxicon.information);
con.close();
}

private void btnothers_click(object sender, eventargs e)
{
sqlconnection con = getcon();
sqlcommand cmd = new sqlcommand();
cmd.connection = con;
cmd.commandtext = "selbyid";
cmd.commandtype = commandtype.storedprocedure;
sqlparameter para = new sqlparameter();
cmd.parameters.addwithvalue("@id", convert.toint32(txtid.text.trim()));//输入参数可以用addwithvalue来格式化参数，但输出参数只能用add
cmd.parameters.add("@thename", sqldbtype.nvarchar,100).direction = parameterdirection.output; //和下面一句不可顺序掉乱，否则会报错，先加入cmd中再指明它是输出参数来的。
con.open();
int i = cmd.executenonquery();
string name = cmd.parameters["@thename"].value.tostring(); //输出参数返回一个数值。
messagebox.show("命令完成 " + name + "是所查记录", "提示", messageboxbuttons.ok, messageboxicon.information);
con.close();
}

private void btnshuzu_click(object sender, eventargs e)
{
sqlconnection con = getcon();
sqlcommand cmd = new sqlcommand();
cmd.connection = con;
cmd.commandtext = "selbyid";
cmd.commandtype = commandtype.storedprocedure;
sqlparameter[] para = { new sqlparameter("@id", sqldbtype.int)};
para[0].value = convert.toint32(txtid.text.tostring().trim());
cmd.parameters.addrange(para); //输入参数和输出参数分别加入到cmd.parameter中。
cmd.parameters.add("@thename",sqldbtype.nvarchar,100).direction = parameterdirection.output; //和下面一句不可掉乱，先增加再指明它是输出参数来的。   
con.open();
int i = cmd.executenonquery();
string name = cmd.parameters["@thename"].value.tostring();
messagebox.show("命令完成 " + name + "是所查记录", "提示", messageboxbuttons.ok, messageboxicon.information);
con.close();
}