c# – 如何使用sql参数进行选择查询？

发布时间：2020-12-16 00:03:27 所属栏目：百科来源：网络整理

导读：我需要根据与一组记录的’like’匹配来获取记录, 以下查询即时使用无效.有谁知道查询有什么问题？ sqlCommand.CommandText =String.Format("SELECT * FROM Customer" + " WHERE (Name like @Name)","'%" +searchString.Trim()+"%'"); sqlCommand.Parameters.

我需要根据与一组记录的’like’匹配来获取记录,

以下查询即时使用无效.有谁知道查询有什么问题？

sqlCommand.CommandText =String.Format("SELECT * FROM Customer" +
                " WHERE (Name like @Name)","'%" +searchString.Trim()+"%'");
            sqlCommand.Parameters.AddWithValue("Name",searchString);

此查询不提取所需的记录.

运行上面的代码片段时出现以下错误：

Must declare the scalar variable "@Name".

解决方法

这样会发生什么？

sqlCommand.CommandText = "SELECT * FROM Customer WHERE Name LIKE @Name;";
sqlCommand.Parameters.AddWithValue("@Name","%" + searchString + "%");

您还可以按如下方式对其进行编码,以避免首先出现所有通配符格式：

sqlCommand.CommandText = "SELECT * FROM Customer WHERE CHARINDEX(@Name,Name) > 0;";
sqlCommand.Parameters.AddWithValue("@Name",searchString);

如果你打算以不安全的方式坚持这样做,至少要将searchString中的任何单引号加倍,例如：

searchString.Replace("'","''")

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!