c# - 如何在用于 SQL 插入的方法中进行参数化查询？

Question

我真的不知道如何在标题中很好地解释它，但这是我的问题。

在许多重载方法中，我创建了这个方法，它的唯一目的是将给定值插入到给定表中:

public static int Insert(string cs, string table, string[] values)
{
    using (SqlConnection con = new SqlConnection(cs))
    {
        try
        {
            string strCommand = string.Format(
                "INSERT INTO {0} VALUES ({1})", 
                table, 
                values.Aggregate((a, b) => (a + ", " +b)));
            SqlCommand com = new SqlCommand(strCommand, con);
            con.Open();
            int result = com.ExecuteNonQuery();
            return result;

        }
        catch (SqlException ex)
        {
            HttpContext.Current.Response.Write(ex.Message);
            return 0;
        }
    }
}

现在它没有使用参数化查询，不是吗？

我真的很想在其中实现这个概念，但我不知道如何实现。

Answer 1

您可以使用包含列名及其各自值的字典

   Dictionary<string, object> values = new Dictionary<string,object>();
   values.Add("userid", 1022);
        values.Add("username", "JFord");
        values.Add("IsActive", 0);
   string table = "users";

用法:

MyClass.Insert("connection", "users", values);

方法

public static int Insert(string cs, string table, Dictionary<string,object> values)
{
        string strCommand = string.Format("INSERT INTO {0} VALUES ({1})",
            table, "@"+String.Join(", @", values.Keys));

 //strCommand becomes: "INSERT INTO users VALUES (@userid, @username, @IsActive)"

        SqlCommand com = new SqlCommand(strCommand, conn);

        foreach (string key in values.Keys)
        {
            com.Parameters.AddWithValue("@" + key, values[key]);
        }

}