Question

我必须在查询中传递一个字符串值...这是我的代码

 string a = ConfigurationManager.AppSettings["var"];
SqlDataAdapter da = new SqlDataAdapter("select codesnippet from edk_custombrsnippet_vw where partnerid = 'a'", con);
DataTable dt = new DataTable();
da.Fill(dt);

我在字符串中得到了值a ..但我不知道如何在该查询中传递该字符串。任何建议？

Answer 1

使用参数化查询，例如：

string a = ConfigurationManager.AppSettings["var"];
SqlDataAdapter da = new SqlDataAdapter(
  "select codesnippet from edk_custombrsnippet_vw where partnerid = @PartnerID",
  con);
da.SelectCommand.Parameters.AddWithValue("@PartnerId", a);
DataTable dt = new DataTable();
da.Fill(dt);

你应该不将字符串值嵌入到SQL本身中 - 这会让你开始接受SQL注入攻击。不可否认，在这种情况下，它不是用户提供的值，但最好不要直接包含它。

编辑：我从this MSDN page改编了这个示例，但据我所知，SqlDataAdapter实际上并没有拥有<{em} Parameters属性。因此，我已将其改编为使用我希望期待的SqlDataAdapter.SelectCommand.Parameters ...但您可能需要稍微调整一下。

Answer 2

不是我以任何方式推荐这种方法，你至少应该使用parameterised queries但是要回答你的问题：

string a = ConfigurationManager.AppSettings["var"]; 
SqlDataAdapter da = new SqlDataAdapter(String.Format("select codesnippet from edk_custombrsnippet_vw      where partnerid = '{0}'",a), con); 
DataTable dt = new DataTable(); 
da.Fill(dt);

Answer 3

我建议使用参数：

// 1. declare command object with parameter
SqlCommand cmd = new SqlCommand(
    "select codesnippet from edk_custombrsnippet_vw where partnerid = @PartnerId", conn);

 string a = ConfigurationManager.AppSettings["var"];
// 2. define parameters used in command object
SqlParameter param  = new SqlParameter();
param.ParameterName = "@PartnerId";
param.Value         = a;

// 3. add new parameter to command object
cmd.Parameters.Add(param);

如何在查询中传递字符串

3 个答案: