C#构造参数查询类SQL %
C#构造参数查询类SQL %
提问于 2009-03-19 22:33:10
我正在尝试为包含LIKE %%命令的查询在C#中构建参数查询的SQL。
这是我正在尝试获取的(请注意,数据库是Firebird)
var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%?%'", TABLE, NAME);
cmd.Parameters.AddWithValue(NAME, "JOHN");现在我已经尝试了每一个单独的排列来让参数工作,我已经尝试过了;
- 将
%字符添加到参数中,
Cmd.Parameters.AddWithValue(名称,"%“+ "JOHN”+“%”);
- 或
cmd.Parameters.AddWithValue(NAME,"'%“+ "JOHN”+ "%'");
我似乎不能让它工作,我怎样才能使用一个参数来使LIKE查询工作。
欢迎提出建议!
回答 3
Stack Overflow用户
回答已采纳
发布于 2009-03-19 22:38:44
在查询中,字符串文字中不能有参数。将整个值作为参数,并在字符串中添加通配符:
var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE ?", TABLE, NAME);
Cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");Stack Overflow用户
发布于 2009-03-19 22:54:39
var SQL = string.Format("SELECT * FROM {0} WHERE {1} LIKE '%' + ? + '%'", TABLE, NAME);
Cmd.CommandText = SQL;
Cmd.Parameters.Add("?", SqlDbType.VarChar, 50).Value = "JOHN";Stack Overflow用户
发布于 2009-03-19 22:36:22
在过去这样做的时候,我只是简单地将它集成到sql中,确保用问号替换单引号来处理sql注入。例如:
var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%{2}%'",
TABLE,
NAME,
JOHN.Replace("'","?"));页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/664314
复制相关文章
相似问题