我需要根据与一组记录的'like'匹配来获取记录,
以下查询即时使用无效。有谁知道查询有什么问题?
sqlCommand.CommandText =String.Format("SELECT * FROM Customer" +
" WHERE (Name like @Name)","'%" +searchString.Trim()+"%'");
sqlCommand.Parameters.AddWithValue("Name", searchString);
此查询无法获取所需的记录。
运行上述代码段时出现以下错误:
Must declare the scalar variable "@Name".
答案 0 :(得分:11)
这种情况会发生什么?
sqlCommand.CommandText = "SELECT * FROM Customer WHERE Name LIKE @Name;";
sqlCommand.Parameters.AddWithValue("@Name", "%" + searchString + "%");
您还可以按如下方式对其进行编码,以避免首先出现所有通配符格式:
sqlCommand.CommandText = "SELECT * FROM Customer WHERE CHARINDEX(@Name, Name) > 0;";
sqlCommand.Parameters.AddWithValue("@Name", searchString);
如果你要坚持不安全的做法,至少要加倍searchString中的任何单引号,例如
searchString.Replace("'", "''")
答案 1 :(得分:1)
String.Format需要一个占位符,如{0} {1}等。
sqlCommand.CommandText = "SELECT * FROM Customer WHERE Name LIKE @Name;";
sqlCommand.Parameters.AddWithValue("@Name", String.Format("%{0}%", searchString));
答案 2 :(得分:0)
如果不是con.State = ConnectionState.Open那么 con.Open() 结束如果
Try
Dim cmd As New OleDbCommand("UPDATE med_records SET Medicine=@Medicine,Dosage=@Dosage,Format=@Format,Expiration_date=@Expiration_date,Quantity=@Quantity where M_id=@M_id", con)
cmd.Parameters.AddWithValue("@Medicine", txtMedicine.Text)
cmd.Parameters.AddWithValue("@Dosage", txt_Dosage.Text)
cmd.Parameters.AddWithValue("@Format", txt_Format.Text)
cmd.Parameters.AddWithValue("@Expiration_date", txt_Expirationdate.Text)
cmd.Parameters.AddWithValue("@Quantity", NumericUpDown1.Text)
cmd.Parameters.AddWithValue("@M_id", txt_M_id.Text)
cmd.ExecuteNonQuery()
MsgBox("Update data")
con.Close()
Catch ex As Exception
MsgBox(ex.Message)
End Try