请求用@variable替换列名

时间:2019-03-15 14:08:38

标签: c# sql wpf

我正在尝试在C#WPF上开发应用程序,并且尝试将请求中的列名称设置为@variable。我解释一下,我有一个带有一些选项的comboBox。这些选项是我专栏的名称。当我选择这些选项之一时,我必须在textBox中写一个词。当我单击验证按钮时,执行表显示的函数需要两个参数:组合框和文本框的值。并且想知道我是否可以发出

这样的请求
SELECT * FROM customer WHERE @boxContent = @text

我认为这就是问题所在。

这是我的xml.cs代码:

private void Button_Click_1(object sender, RoutedEventArgs e)
{
        //InitializeComponent();
        text = testBox.Text;
        afficheListe.ListeModif(text,boxContent);
    }

    private void ComboBox_SelectionChanged(object sender, SelectionChangedEventArgs e)
    {
        if (ID.IsSelected)
        {
            boxContent = "id_client";
        }
        else if (Nom.IsSelected)
        {
            boxContent = "nom";
        }
        else if (Prenom.IsSelected)
        {
            boxContent = "prenom";
        }
        else if (Sexe.IsSelected)
        {
            boxContent = "sexe";
        }
        else if (DateNaissance.IsSelected)
        {
            boxContent = "date_Naiss";
        }
        else if (Mail.IsSelected)
        {
            boxContent = "mail";
        }
        else if (Adresse.IsSelected)
        {
            boxContent = "adresse";
        }
        else if (Pays.IsSelected)
        {
            boxContent = "pays";
        }
}

这是我的请求代码:

public void ListeModif(string text, string boxContent)
{
        bdd.connection.Open();

        MySqlCommand cmd = bdd.connection.CreateCommand();
        cmd.Parameters.AddWithValue("@text", text);
        cmd.Parameters.AddWithValue("@boxContent", boxContent);

        cmd.CommandText = " SELECT * FROM client WHERE @boxContent = @text";

        MessageBox.Show(cmd.ToString());

        cmd.ExecuteNonQuery();

        MySqlDataReader reader = cmd.ExecuteReader();

        clients.Clear();

        while (reader.Read())
        {
            clients.Add(new Client()
            {
                Id = Convert.ToInt32(reader["id_Client"]),
                Nom = Convert.ToString(reader["nom"]),
                Prenom = Convert.ToString(reader["prenom"]),
                Sexe = Convert.ToString(reader["sexe"]),
                Date_Naissance = Convert.ToDateTime(reader["date_Naiss"]),
                Mail = Convert.ToString(reader["mail"]),
                Adresse = Convert.ToString(reader["adresse"]),
                Pays = Convert.ToString(reader["pays"])
            });
        }

        reader.Close();

        bdd.connection.Close();
}

使用调试器时,cmd变量的值为:

MySql.Data.MySqlClient.MySqlCommand}

希望我很好地解释了我的问题。

2 个答案:

答案 0 :(得分:1)

  

并且想知道我是否可以发出类似请求

     

“选择*来自客户,其中@boxContent = @text”

不,您不能。在SQL中(通常,不仅在SQL Server中),您可以用参数替换恒定值。您不能替换其他类型的值:

  • 标识符(表名,列名等)
  • 操作员
  • 函数名称
  • SQL关键字

换句话说,参数替换是 not 字符串替换。构造查询字符串时,可以在应用程序中执行此操作。但是您不能将值作为参数传递。注意:请小心在应用程序中执行此操作,因为代码容易受到SQL注入攻击。

有时候,我会通过以下方式处理标识符替换:

SET @SQL = 'SELECT * FROM customer where @boxContent = @text';

SET @SQL = REPLACE(@SQL, '@boxContent', @boxContent);

(这是T-SQL语法。)也就是说,在执行查询之前将替换该值。

这似乎是一个奥术限制。但是,准备好的语句的目的之一是预编译查询-节省了解析,编译和优化查询的开销。在您有许多小的查询都在处理相同表单的环境中,这可能是重要的性能增强。

答案 1 :(得分:1)

不,那是错误的。您不能像这样动态替换列名。相反,您可以像下面这样操作,并替换boxContent变量的值

cmd.CommandText = $"SELECT * FROM client where {boxContent} = @text ";

如果您使用的C#版本低于6,则使用string.Format()

cmd.CommandText = string.Format("SELECT * FROM client where {0} = @text ", boxContent);